20155219付穎卓 Exp3 免殺原理與實踐

1.基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

• 殺毒軟件有一個病毒的特徵碼庫，經過識別惡意代碼的特徵碼或者特徵片斷檢測惡意代碼

• 殺毒軟件經過動態檢測對象文件的行爲來識別惡意代碼，若是他的行爲在必定程度上和病毒相符，那麼咱們說這是一個惡意代碼

  （2）免殺是作什麼？

• 避免惡意代碼被殺毒軟件查殺

  （3）免殺的基本方法有哪些？

• 經過加殼、重組編碼shellcode來改變惡意代碼的特徵碼

• 經過改變惡意代碼的操做方式及通信方式等行爲來避免被查殺

3.離實戰還缺些什麼技術或步驟？

• 如今的殺毒軟件的各類特徵庫更新的比較快，若是要作到在實際中應用自如，就更應該努力學習相關知識。
• 個人操做基本仍是要看實驗指導書來完成，應該多練來達到熟悉以達到實戰的目的。

4.實踐過程記錄

1、msfvenom直接生成meterpreter可執行文件

1.主機IP

虛擬機IP

2.在虛擬機內生成meterpreter可執行文件20155219.exe

3.將可執行文件傳到主機

4.在http://www.virscan.org/網站上查一下這個病毒能被多少殺軟檢測出來，網站上顯示個人病毒名字有違法或廣告關鍵字，因此修改病毒名稱爲155219.exe，檢測結果有19/39的殺軟檢測出病毒

2、Msfvenom使用編碼器生成meterpreter可執行文件

（一）一次編碼

1.在虛擬機中生成可執行文件fool5219.exe

2.將可執行文件傳到主機中

3.在http://www.virscan.org/網站上查一下這個病毒能被多少殺軟檢測出來。

看到仍是19/39的軟件可以查到病毒

（二）屢次編碼

1.在虛擬機中將惡意代碼編譯十次

2.從虛擬機將文件傳到主機

3.檢測出有21/39的殺軟查出了病毒，看來殺軟對於屢次編碼的病毒大部分仍是可以防護的

3、使用Veil-Evasion生成可執行文件

在下載veil-evasion時出現不少錯誤，讓我瘋狂。

• 問題1：
  以前它的值一直是0，我百度了一下。獲得解決辦法。
  
• 問題2：出下了以下什麼鎖沒法打開的問題提示
  百度搜解決辦法：
  
• 問題3：
  
  在百度上搜索了一堆網頁的解決辦法，下載了一堆東西。
  
  仍是沒用！！！！天吶

好吧，而後我選擇從新下載。。。要是仍是報錯我就。。。

重裝以後！好像要成功了！
是的成功了，原來是圖書館的網太慢了，我連了本身的熱點，十分鐘就下載好了，以前下載了兩天啊！可是我花了一個G的流量，我無怨，我無悔。

容我多放幾個圖炫耀一下。

可是 .bat文件在我嘗試後看來是不能用的，不能拖拽，提示：PowerShell doesn't compile, so you just get text :) 笑臉是個什麼鬼。。。。，因而我將use python/meterpreter/rev_tcp.py改爲use c/meterpreter/rev_tcp.py,其餘步驟徹底相同

以後使用命令cp -r /var/lib/veil/output/compiled/playload5219.exe ~/5219playload將它複製到主界面。

成功傳到windows以下圖，以後進行病毒查殺。首先複製過來的時候電腦管家查殺出了此病毒。

只有6家能夠查殺了。

4、使用C語言調用Shellcode

1.在虛擬機中生成一個c語言shellcode數組

複製過去電腦管家查殺出來了。
試一試多少殺軟能夠殺除這個病毒

有9個

放入c語言中進行編譯，以下，生成5219.exe

2.將剛纔生成的數組放到c程序中生成可執行文件，再檢測一下此次生成的可執行文件可以被5/39的殺軟檢測到

生成exe文件。

4.1加殼

upx是一種壓縮程序，能夠實現加殼的功能，這裏簡單介紹該指令加殼的命令格式：

upx #須要加殼的文件名 -o #加殼後的文件名

生成的文件複製到win下的時候電腦管家已經不提示有高危文件了。
掃描結果以下：

回連結果

4.2加殼+veil-evasion

將生成的文件進行掃描：

5.實踐總結與體會

本次實驗讓我知道，本身的電腦下載的殺軟連本身製造的病毒都沒法查殺，真的是可怕，不少免殺的方法見都沒見過，有的也沒有看懂，對於軟件生成來講，很容易暴露特徵，而本身手工編寫更能實現免殺。之前真的沒有作到重視電腦安全這一方面，之後要多多注意了QAQ。之後仍是要本身積累知識，遇到問題本身解決，女人仍是要靠本身。