2018-2019-2 20165315 《网络对抗技术》Exp2+ 后门进阶

一、实验要求

以下三个课题三选一

1.其他专用后门工具研究（CROSSRAT ...）

2.恶意代码绑定技术研究（与压缩包、安装包、EXE、DOCX绑定、音视频 ...）

3.网络通讯隐藏研究（隧道技术、转发、加密）

我选择课题2：恶意代码绑定技术研究

二、实验步骤

1、恶意代码与文件通过WinRAR实现绑定

以下过程参考D_R_L_T的博客，正常文件以EXE文件为例，我认为除了EXE文件之外，安装包、压缩包等都是可以通过这个方法绑定的。

• 选择要需要压缩的.exe文件，点击右键，在菜单中选择 WinRAR 的添加到压缩文件，打开压缩文件名和参数对话框，勾选存储和创建自解压格式压缩文件，压缩文件名的扩展名就会自动变成exe（这里选择存储是因为保证压缩后大小为最小）

• 选择高级选项卡，然后点击自解压选项按钮

• 在常规选项卡中，设置文件的解压路径为C:\，在设置选项卡中指定在自解压后自动执行后门程序。 通过这两个设置项目，就可以制作一个简单的安装程序，比如指定将文件解压到某个地方，然后在解压后自动执行解压出来的某个程序

• 

• 在模式选项卡中，安静模式选择全部隐藏，这样能够达到隐藏RAR自解压文件在执行解压操作的目的，让所有的自解压操作都隐藏在后台，让人察觉不到

• 最后生成一个可自解压文件，点击运行后，发现kali中msf控制台实现了回连，关闭回连后，才会运行正常程序

• 使用腾讯电脑管家查杀，实现了免杀

2、用DOS命令行实现文件捆绑（包括文本文件、音视频和可执行文件）

用这个功能可以简单实现文件捆绑，主要涉及范围是MP3为代表的音频文件合并，txt为代表的文本文件合并效果很好。可以使用copy和type两个指令，我主要用的是type命令

（1）捆绑文本文件

• 在exp2+文件夹下创建四个txt文本文件，写入任意内容，创建一个空文件

• 在DOS命令行中输入指令type *.txt >> exp2+.txt，实现捆绑四个文本文件

• 打开exp2+.txt文件，发现里面的内容正是前面4个文件的内容

（2）捆绑视频文件

• 和捆绑文本文件步骤一样，生成的文件是两段视频的直接衔接

（3）捆绑带恶意代码的可执行程序

• 和上述步骤一样，生成的文件在关掉杀软可以实现回连

• 但是一打开杀软就被杀掉了...还是腾讯管家杀掉的...可见这个捆绑十分不可靠，太尴尬了...

• 后来过了一段时间我再另外生成一个后门程序test，用一样的过程捆绑，就成功了，没有被杀出来...看来这个捆绑是依靠了原后门程序的隐藏性

• 把生成的文件放到virscan网站上检测，检测率有24%，说明还是比较危险的一个捆绑程序

3、利用kali linux捆绑工具shellter

Shellter是一个开源的免杀工具，利用动态Shellcode注入来实现免杀的效果，主要安装使用流程参考wkend的博客

• 输入apt install shellter命令 ，安装shellter

• 输入shellter指令，出现下图所示表示安装成功

• 从浏览器下载putty.exe（远程登陆工具），并且放到home目录下
• 在这里提示有三种操作模式，我们选择自动模式（A）
  • A:自动
  • M：管理者，高级模式
  • H：帮助选项
• 在pe target后输入/root/putty.exe,等待shellter帮我们在putty.exe上捆绑后门

• 输入Y，以隐形模式进入

• 出现下面几种连接方式，输入L和1选择Meterpreter_Reverse_TCP
  • Meterpreter_Reverse_TCP：基于TCP的反向链接，触发者的shell会发送给指定的人
  • Meterpreter_Reverse_HTTP：基于http网页传输的反向链接，用GET或者POST方法进行发送接收
  • Meterpreter_Reverse_HTTPS：基于 https网页传输的反向链接,即安全的HTTP传输连接
  • Meterpreter_Bind_TCP：正向的链接，需要攻击者知道是谁出发的这个模块，比较类似后门程序
  • Shell_Reverse_Bind_TCP：反向链接，可以用shell直接接收会话
  • Shell_Bind_TCP：正向链接，可以用shell直接接收会话
  • WinExec：运行外部程序

• 输入主机IP地址10.1.1.109和监听的端口5315
• 这样一个含有后门的文件就制作成功啦

• 生成的文件放在Shellter_BackUps文件夹中

• 将生成的文件复制到Windows上，点击运行，设置目的IP（Kali的IP）和端口号

• 在kali上实现回连

• 使用杀软进行查杀，没有被发现～

• 将该文件放到Virscan上检测，检测率仅为2%，可以说十分安全了，主要是putty是要主机自己填写攻击机的IP地址和端口号，才会被反弹连接，本身可能被发现的可能性比较小

三、实验中遇到的问题

在使用DOS命令行实现文件捆绑的时候，DOS命令行好难用...有时候会显示找不到文件，其实是DOS在识别文件时，存储的文件名改变了，我只能自己手改文件名，再运行一遍命令，这可能也和我的DOS配置有关吧

在使用DOS命令行实现文件捆绑的时候，出现如下错误：

解决过程：
指令出现错误，将type *.exe >> exp2+.exe写成type *.exe >> exp2+

四、实验总结

这个实验是选做实验，我选择了个人比较感兴趣的捆绑式后门程序研究，实验过程中学会使用了很多用于捆绑的工具，而且仍然有很多还没有用到的。在日常生活中，我们也经常遇到这样的情况，比如在下载一个应用时，会捆绑下载很多其他的软件...

在学习各种捆绑软件的过程中，我明白了捆绑的原理，也明白了平时不要随意运行来源不明的程序，不要浏览不安全的网站，提高网络安全防范意识。