20145306 《網絡攻防》 免殺技術

20145306 免殺原理與實踐

1.對惡意代碼的檢測

•   基於特徵碼的檢測：對一段或多段數據進行檢測。若是一個可執行文件或其餘運行的庫、腳本等有該數據則被認爲是惡意代碼。AV軟件廠商要作的就是儘可能蒐集最全的、最新的特徵碼庫。因此殺毒軟件的更新很重要。過期的特徵碼庫就是沒有用的庫。

•  啓發式惡意軟件檢測：經過惡意代碼的一些特徵去檢測，加入對行爲的的檢測後稱爲加入了行爲的啓發式。

2.免殺技術

（1）改變特徵碼

（2）改變行爲

（3）很是規方法

3.實驗過程

 利用msf生成可執行後門文件，用virscan掃描

結果有53%的殺軟報毒。

 

編碼後進行virscan掃描，理論上會下降報毒的機率，但實際上並無多大效果

 

依然有51%的報毒。

 

進行六次編碼後：

報毒機率依舊很高。

 

veil-evasion用python語言改寫:

報毒機率將爲25%。

 

使用shellcode半手工生成後門文件：

先生成shellcode數組

利用該數組生成一個程序，隨後用virscan掃描，結果基本能夠實現免殺。