20145210姚思羽《网络对抗》免杀原理与实践

20145210姚思羽《网络对抗》免杀原理与实践

基础问题回答

1.杀软是如何检测出恶意代码的？

（1）杀毒软件有一个病毒的特征码库，通过识别恶意代码的特征码检测恶意代码

（2）杀毒软件通过动态检测对象文件的行为来识别恶意代码，如果他的行为在一定程度上和病毒相符，那么我们说这是一个恶意代码

（3）通过此代码的特征片段推断其是否为恶意代码

2.免杀是做什么？

免杀就是避免我们的恶意代码被杀毒软件查杀

3.免杀的基本方法有哪些？

（1）通过加壳、重组编码shellcode来改变恶意代码的特征码

（2）通过改变恶意代码的操作方式及通讯方式等行为来避免被查杀

（3）自己编写一个恶意代码

实践总结与体会

这次实验总结起来遇到的最大的障碍就是计算机简直太慢...
这回真的是自己操作生成的病毒，不过自己生成的病毒程序360杀毒等等软件竟然检测不出来，这让我对于我们之前一直依赖的杀毒软件有一些小失望呀，看来我们自己平时还是要多积累，遇到问题要能解决

离实战还缺些什么技术或步骤？

（1）现在的杀毒软件的各种特征库更新的很快，要想达到实战还需要做到灵活更新，更加深入地学习相关知识

（2）我觉得我的操作还是有点生疏，还是要多练习多思考多积累才能达到实战的水平

实践过程记录

一、msfvenom直接生成meterpreter可执行文件

1.主机IP:172.30.1.215
虚拟机IP:192.168.19.129

2.在虚拟机内生成meterpreter可执行文件20145210.exe

3.将可执行文件传到主机

4.在http://www.virscan.org/网站上查一下这个病毒能被多少杀软检测出来，网站上显示我的病毒名字有违法或广告关键字，所以修改病毒名称为145210，检测结果有18/39的杀软检测出病毒

二、Msfvenom使用编码器生成meterpreter可执行文件

（一）一次编码

1.在虚拟机中生成可执行文件fool5210.exe

2.将可执行文件传到主机中

3.我们再去看一下有多少杀软能检测到病毒

看到还是18/39的软件能够查到病毒

（二）多次编码

1.在虚拟机中将恶意代码编译十次

2.从虚拟机将文件传到主机

3.检测出有21/39的杀软查出了病毒，看来杀软对于多次编码的病毒大部分还是能够防御的

三、使用Veil-Evasion生成可执行文件

1.在虚拟机终端输入veil-evasion进入veil-evasion环境

2.在这个界面输入命令use python/meterpreter/rev_tcp出现如下界面：

3.生成可执行文件5210yao.exe

4.将生成的可执行文件传到主机

5.再去检测一下看看有多少杀软能够检测出病毒

有10/39的杀软检测出了病毒，小有成效

四、使用C语言调用Shellcode

1.在虚拟机中生成一个c语言shellcode数组

2.检测到有8/39的杀软能够检测到病毒

3.将刚才生成的数组放到c程序中生成可执行文件，再检测一下这次生成的可执行文件能够被5/39的杀软检测到

4.用自己计算机上的360也没有检测出病毒

五、实现免杀

1.在虚拟机中启动监听，成功回连

2.捕获目标主机屏幕

3.360杀毒软件也没有查出病毒！