20155204 王昊《網絡對抗技術》EXP3

20155204 王昊《網絡對抗技術》EXP3

1、基礎問題回答

1.殺軟是如何檢測出惡意代碼的？

答：

• 基於特徵碼：一段特徵碼就是一段或多段數據。（若是一個可執行文件（或其餘運行的庫、腳本等）包含這樣的數據則被認爲是惡意代碼）
  殺毒軟件有本身專門的特徵碼庫，在檢測一個程序是不是惡意代碼時就看這個程序中的是否包含有特徵碼庫中的特徵碼，若是有就進行查殺。可是特徵碼庫並非老是能第一時間更新，若是出現了特徵碼庫中沒有的新特徵碼，那麼就沒法經過這種比對的方法進行查殺。

• 啓發式惡意軟件檢測
  When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.就是老師上課讓我翻譯的這段，意思就是這個程序在作跟惡意代碼同樣的事情，咱們就認爲他是惡意代碼。

• 基於行爲的惡意軟件檢測

2.免殺是作什麼？

答：免殺，也就是反病毒（AntiVirus）與反間諜（AntiSpyware）的對立面，英文爲Anti-AntiVirus（簡寫Virus AV），逐字翻譯爲「反-反病毒」，翻譯爲「反殺毒技術」。單從漢語「免殺」的字面意思來理解，能夠將其看爲一種能使病毒木馬避免被殺毒軟件查殺的技術。

3.免殺的基本方法有哪些？

答：（1）入口點加1免殺法。（2）變化入口地址免殺法（3）加花指令法免殺法（4）加殼或加假裝殼免殺法。（5）打亂殼的頭文件免殺法。（6）修改文件特徵碼免殺法。

2、實踐總結與體會

從網站上的掃描結果來看，不少殺毒軟件仍是存在問題的，咱們的免殺機率雖然沒有到百分之百可是也有九成。而從實際軟件來看，個人電腦安裝的是電腦管家，基本上我作好的程序從虛擬機拖出來就被處理掉了。。。因此我仍是選擇信任他吧。

3、離實戰還缺些什麼技術或步驟？

缺少更加新的加殼或者假裝技術，自身上是缺少編程能力以及對這些技術工具使用的熟練。

4、實踐過程記錄

1.使用msf生成的後門程序及其檢測

（1）將上次實驗生成的後門程序放在virscan.org上掃描。結果以下。

（2）跟你們同樣多編譯幾回也沒有做用，不是重點，再也不贅述。

2.使用veil-evasion生成後門程序及其檢測

（1）參考了杜可欣同窗的博客2017-2018-4 20155203《網絡對抗技術》EXP3 免殺原理與實踐安裝了veil，這篇博客真的很良心，救了我以及我身邊很多安裝veil不成功的同窗。

（2）用veil生成了後門程序，具體的veil操做杜可欣同窗博客的末尾也有一篇博客講到了具體操做（跟msf很像）。

（3）再放到網上掃描下

3.利用shellcode編寫後門程序及其檢測

（1）利用msf生成c的shellcode。

（2）在Windows下用visualstudio生成了c語言後門程序（這部分參考了老師的實驗指導書），編譯運行，成功回連。

（3）再去網上掃描。

• 特別說明一下這裏，我在linux下交叉編譯會後，放在Windows下運行，kali這邊一直提示died，也沒有找到好的解決辦法，因此用了visualstudio。

4.經過組合應用各類技術實現惡意代碼免殺

• 我採用了c語言編譯的shellcode + 加殼
  因爲我第三步中vs編譯的那個程序報毒較少，因此選擇了他，結果加殼後反而被暴露了，想一想也是能夠理解的，狼的羊皮舊了唄：D