20165224 陆艺杰 Exp3 免杀原理与实践

杀软是如何检测出恶意代码的？

识别代码特征码

监测像后门的行为

  （2）免杀是做什么？

让后面程序不被安全软件发现

  （3）免杀的基本方法有哪些？

多方式编码

半手工shellcode编程

完全自己写没有被记录的后门

实践总结与体会

免杀技术十分重要，所有网络攻防工作都需要免杀技巧的支持

开启杀软能绝对防止电脑中恶意代码吗？

不能，恶意代码的变换方式太多，安全软件厂商过于被动

过程

1.正确使用msf编码器

-e， - 编码器[编码器]指定需要使用的编码器（编码器）

 -b， -  bad-chars <list>设定规避字符集

 -i， - 项目<count>指定有效载荷的编码次数
 

 

2.msfvenom生成如jar之类的其他文件

把-f生成类型变成 jar

3.使用shellcode编程

生成后门

编写c程序 把后门程序变成数据写入

 用编译器导入windows的库编译成exe文件

 

 

安全软件一般不检查外存特征码 完成免杀

4.加壳工具

加壳后的副本文件发生变换，变小了

 

 

 

 5.通过组合应用各种技术实现恶意代码免杀

半手工编写在经过加壳

 

没经过加壳的被检测出问题，半手工加壳后的没有被检查出问题，与杀软共存