20145308 《網絡對抗》 MAL_免殺原理及實踐 學習總結

20145308 《網絡對抗》 MAL_免殺原理及實踐 學習總結

實踐內容

• (1)理解免殺技術原理
• (2)正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧
• (3)經過組合應用各類技術實現惡意代碼免殺

• (4)用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

  基礎問題回答

• （1）殺軟是如何檢測出惡意代碼的？
• 根據特徵碼進行檢測（靜態）
• 啓發式（模糊特徵點、行爲 ）

• 根據行爲進行檢測

• （2）免殺是作什麼？

• 免殺就是反病毒（AntiVirus）與反間諜（AntiSpyware）的對立面，英文爲Anti-AntiVirus（簡寫Virus AV），讓惡意代碼不被殺毒軟件查殺

• （3）免殺的基本方法有哪些？
• 改變特徵碼（加殼、編碼）
• 改變行爲（通信方式、操做模式）
• 利用現有後門軟件
• 使用漏洞應用做爲後門
• 社工類攻擊，誘導關閉殺軟

• 手工打造惡意軟件

  實驗總結與體會

• 本次實驗在上次實驗的基礎上實現了免殺，嘗試了msf編碼、Veil-Evasion以及半手工等方式製做免殺程序，最後成功實現了免殺，技術很簡單，因此又懼怕了，必定要多打補丁多更新殺毒軟件

  離實戰還缺些什麼技術或步驟

• 雖然可以免殺，可是並無植入其餘電腦的方式，好比沒有本身複製的功能或者利用系統或協議漏洞進行攻擊的步驟

  實踐過程記錄

  免殺效果評價

• 首先查詢攻擊機和靶機的IP地址，kali攻擊機192.168.44.128，Win7靶機192.168.1.108

• 根據攻擊機的IP用msfvenom直接生成meterpreter可執行文件
  

• 上傳到VirScan進行掃描,39個殺軟中有21個顯示它是病毒，能夠看出這個根本不能免殺
  

• 這時要對它進行假裝，使用編碼器進行編碼，看殺軟查殺率能不能下降
  

• 仍是上傳到VirScan上去檢測一下,仍是39個殺軟中有21個顯示它是病毒，根本沒有變化
  

• 編碼10次，看看能不能下降查殺率
  

• 上傳到VirScan上去檢測，仍是39個殺軟中有21個顯示它是病毒，仍是根本沒有變化
  

• 經過上面的實驗能夠看出如今編碼的方式沒有免殺的功能，仍是要變換方式進行免殺的改造

  Veil-Evasion生成可執行文件

• 打開Veil-Evasion
  

• 生成可執行文件，過程此處省略生成命令
  

• 上傳到VirScan，39個殺軟中有10個顯示它是病毒，比前面的實驗查殺率下降了不少
  

C語言調用Shellcode

• 半手工打造一個惡意軟件

• 生成一個c語言格式的Shellcode數組，替換代碼中的對應部分，並拷貝到VS中編譯運行
  

• 上傳到VirScan，39個殺軟中有4個顯示它是病毒，比前面的實驗查殺率又下降了不少
  

逆序修改shellcode

• 用函數求shellcode數組的逆序
  

• 所有替換ffffff
• 添加求逆的函數部分

• 提交VirScan查殺,39個殺軟中有1個顯示它是病毒，比前面的實驗查殺率又下降了不少
  

實戰（win8+360安全衛士）

• 用殺毒軟件檢測，經過了查殺
  

• Kali開啓監聽
  

• Windows開啓程序,回連Kali

• 成功得到shell