20145308 《网络对抗》 MAL_免杀原理及实践 学习总结

20145308 《网络对抗》 MAL_免杀原理及实践 学习总结

实践内容

  • (1)理解免杀技术原理
  • (2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
  • (3)通过组合应用各种技术实现恶意代码免杀
  • (4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

基础问题回答

  • (1)杀软是如何检测出恶意代码的?

  • 根据特征码进行检测(静态)

  • 启发式(模糊特征点、行为 )

  • 根据行为进行检测

  • (2)免杀是做什么?

  • 免杀就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),让恶意代码不被杀毒软件查杀

  • (3)免杀的基本方法有哪些?

  • 改变特征码(加壳、编码)

  • 改变行为(通讯方式、操作模式)

  • 利用现有后门软件

  • 使用漏洞应用作为后门

  • 社工类攻击,诱导关闭杀软

  • 手工打造恶意软件

实验总结与体会

  • 本次实验在上次实验的基础上实现了免杀,尝试了msf编码、Veil-Evasion以及半手工等方式制作免杀程序,最后成功实现了免杀,技术很简单,所以又害怕了,一定要多打补丁多更新杀毒软件

离实战还缺些什么技术或步骤

  • 虽然能够免杀,但是并没有植入其他电脑的方式,比如没有自己复制的功能或者利用系统或协议漏洞进行攻击的步骤

实践过程记录

免杀效果评价

  • 首先查询攻击机和靶机的IP地址,kali攻击机192.168.44.128,Win7靶机192.168.1.108

  • 根据攻击机的IP用msfvenom直接生成meterpreter可执行文件

  • 上传到VirScan进行扫描,39个杀软中有21个显示它是病毒,可以看出这个根本不能免杀

  • 这时要对它进行伪装,使用编码器进行编码,看杀软查杀率能不能降低

  • 还是上传到VirScan上去检测一下,还是39个杀软中有21个显示它是病毒,根本没有变化

  • 编码10次,看看能不能降低查杀率

  • 上传到VirScan上去检测,还是39个杀软中有21个显示它是病毒,还是根本没有变化

  • 通过上面的实验可以看出现在编码的方式没有免杀的功能,还是要变换方式进行免杀的改造

Veil-Evasion生成可执行文件

  • 打开Veil-Evasion

  • 生成可执行文件,过程此处省略生成命令

  • 上传到VirScan,39个杀软中有10个显示它是病毒,比前面的实验查杀率降低了很多

C语言调用Shellcode

  • 半手工打造一个恶意软件

  • 生成一个c语言格式的Shellcode数组,替换代码中的对应部分,并拷贝到VS中编译运行

  • 上传到VirScan,39个杀软中有4个显示它是病毒,比前面的实验查杀率又降低了很多

逆序修改shellcode

  • 用函数求shellcode数组的逆序

  • 全部替换ffffff

  • 添加求逆的函数部分

  • 提交VirScan查杀,39个杀软中有1个显示它是病毒,比前面的实验查杀率又降低了很多

实战(win8+360安全卫士)

  • 用杀毒软件检测,通过了查杀

  • Kali开启监听

  • Windows开启程序,回连Kali

  • 成功获得shell

posted @ 2017-03-22 19:26  20145308刘昊阳  阅读(153)  评论(0编辑  收藏