20169208 2016-2017-2 《网络攻防实践》第十四周学习总结

20169208 2016-2017-2 《网络攻防实践》第十四周学习总结

基础问题回答

杀软是如何检测出恶意代码的？

根据特征来检测：恶意代码经常具备明显的特征码也就是一段数据，杀软检测到具备该特征码的程序就看成检测到了恶意代码。
根据行为来检测：若是一个程序的行为是带有恶意的行为，那么这个程序也会被认为是恶意代码，有时候不是恶意代码的程序也会把查杀，由于这些程序作了一些计算机认为不安全的事情，比较常见的就是各自破解补丁或者游戏外挂等。

免杀是作什么？

免杀顾名思义就是免除计算机杀软的查杀。
经过一些手段来瞒过杀软的检测扫描。

免杀的基本方法有哪些？

加花指令：就是加入一些花里胡哨的指令来迷惑杀软，让杀软检测不到特征码，好比+1，-1，*1，/1什么的，可是一些厉害的杀软还能够看破这些。
加壳：就是给含有恶意代码的程序加一个外包装，让杀软不知道里面装的是什么。可是这种方法逃不过内存查杀，一运行起来就会露出马脚。
修改特征码：就是在不影响程序功能的状况下，将杀软检测的那一段特征码改一下，从而瞒过杀软的检测。固然修改特征码不是一个容易的事情，可是倒是惟一能够躲过内存查杀的办法。

实践总结与体会

感受整个实验一步步的摸索颇有意义，让本身了解到一个后门是如何作到免杀效果的。每每那些知名的软件生成的后门程序都不能免杀，杀软公司确定会防范这些软件，相反本身半手工作的后门就有很强的免杀能力，尤为是在实验中，加壳的方式几乎是成功不了的，由于这些壳对杀软来讲一般有备份，同类编码也是同样，最有效的仍是对特征码的加工，换个位置或者加个密什么的均可以瞒过杀软。
当实验成功的时候，更多的是惊讶杀软被骗过去了，要重视电脑安全。

离实战还缺些什么技术或步骤？

最主要的是如何让靶机获得这个后门程序。

实践过程记录

1.使用msf编码器直接生成可执行文件

使用msfvenom命令生成meterpreter可执行文件fool.exe，传送到Windows，被拦截。

在http://www.virscan.org/网站检测
检查结果以下：

2.使用msf编码器对恶意代码进行屡次编码并生成一个可执行文件

使用msfvenom命令生成meterpreter可执行文件5208-encoded.exe，传送到Windows，没有被拦截。与以前将fool.exe恢复有关。
以下图：
电脑管家只查出了存在一个后门文件。

在http://www.virscan.org/网站检测
检查结果以下：

依然能够被查出。

3.使用Veil-Evasion生成可执行文件

veil-Evasion须要本身安装，首先须要update才能够安装成功。
使用veil-Evasion生成可执行文件1818.exe，传送到Windows上能够被查出。

在http://www.virscan.org/网站检测
检查结果以下：

使用C语言调用Shellcode，生成可执行文件。
发送到Windows上能够被查出来。
在http://www.virscan.org/网站检测
检查结果以下：

把CPP文件传送到Windows上。
在http://www.virscan.org/网站检测
检查结果以下：

遇到的问题与解决过程

一、第一次安装veil-Evasion不成功，根据错误提示update后，再用--fix missing成功安装。

参考资料

• 网络攻防技术与实践 (官网)