20169208 2016-2017-2 《網絡攻防實踐》第十四周學習總結

20169208 2016-2017-2 《網絡攻防實踐》第十四周學習總結

基礎問題回答

殺軟是如何檢測出惡意代碼的？

根據特徵來檢測：惡意代碼經常具備明顯的特徵碼也就是一段數據，殺軟檢測到具備該特徵碼的程序就看成檢測到了惡意代碼。
根據行爲來檢測：若是一個程序的行爲是帶有惡意的行爲，那麼這個程序也會被認爲是惡意代碼，有時候不是惡意代碼的程序也會把查殺，由於這些程序作了一些計算機認爲不安全的事情，比較常見的就是各自破解補丁或者遊戲外掛等。

免殺是作什麼？

免殺顧名思義就是免除計算機殺軟的查殺。
經過一些手段來瞞過殺軟的檢測掃描。

免殺的基本方法有哪些？

加花指令：就是加入一些花裏胡哨的指令來迷惑殺軟，讓殺軟檢測不到特徵碼，好比+1，-1，*1，/1什麼的，可是一些厲害的殺軟還能夠看破這些。
加殼：就是給含有惡意代碼的程序加一個外包裝，讓殺軟不知道里面裝的是什麼。可是這種方法逃不過內存查殺，一運行起來就會露出馬腳。
修改特徵碼：就是在不影響程序功能的狀況下，將殺軟檢測的那一段特徵碼改一下，從而瞞過殺軟的檢測。固然修改特徵碼不是一個容易的事情，可是倒是惟一能夠躲過內存查殺的辦法。

實踐總結與體會

感受整個實驗一步步的摸索頗有意義，讓本身瞭解到一個後門是如何作到免殺效果的。每每那些知名的軟件生成的後門程序都不能免殺，殺軟公司確定會防範這些軟件，相反本身半手工作的後門就有很強的免殺能力，尤爲是在實驗中，加殼的方式幾乎是成功不了的，由於這些殼對殺軟來講一般有備份，同類編碼也是同樣，最有效的仍是對特徵碼的加工，換個位置或者加個密什麼的均可以瞞過殺軟。
當實驗成功的時候，更多的是驚訝殺軟被騙過去了，要重視電腦安全。

離實戰還缺些什麼技術或步驟？

最主要的是如何讓靶機獲得這個後門程序。

實踐過程記錄

1.使用msf編碼器直接生成可執行文件

使用msfvenom命令生成meterpreter可執行文件fool.exe，傳送到Windows，被攔截。

在http://www.virscan.org/網站檢測
檢查結果以下：

2.使用msf編碼器對惡意代碼進行屢次編碼並生成一個可執行文件

使用msfvenom命令生成meterpreter可執行文件5208-encoded.exe，傳送到Windows，沒有被攔截。與以前將fool.exe恢復有關。
以下圖：
電腦管家只查出了存在一個後門文件。

在http://www.virscan.org/網站檢測
檢查結果以下：

依然能夠被查出。

3.使用Veil-Evasion生成可執行文件

veil-Evasion須要本身安裝，首先須要update才能夠安裝成功。
使用veil-Evasion生成可執行文件1818.exe，傳送到Windows上能夠被查出。

在http://www.virscan.org/網站檢測
檢查結果以下：

使用C語言調用Shellcode，生成可執行文件。
發送到Windows上能夠被查出來。
在http://www.virscan.org/網站檢測
檢查結果以下：

把CPP文件傳送到Windows上。
在http://www.virscan.org/網站檢測
檢查結果以下：

遇到的問題與解決過程

一、第一次安裝veil-Evasion不成功，根據錯誤提示update後，再用--fix missing成功安裝。

參考資料

• 網絡攻防技術與實踐 (官網)