20145308 《网络对抗》 MAL_免杀原理及实践 学习总结

20145308 《网络对抗》 MAL_免杀原理及实践 学习总结

实践内容

• (1)理解免杀技术原理
• (2)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧
• (3)通过组合应用各种技术实现恶意代码免杀
• (4)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

基础问题回答

• （1）杀软是如何检测出恶意代码的？

• 根据特征码进行检测（静态）

• 启发式（模糊特征点、行为 ）

• 根据行为进行检测

• （2）免杀是做什么？

• 免杀就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），让恶意代码不被杀毒软件查杀

• （3）免杀的基本方法有哪些？

• 改变特征码（加壳、编码）

• 改变行为（通讯方式、操作模式）

• 利用现有后门软件

• 使用漏洞应用作为后门

• 社工类攻击，诱导关闭杀软

• 手工打造恶意软件

实验总结与体会

• 本次实验在上次实验的基础上实现了免杀，尝试了msf编码、Veil-Evasion以及半手工等方式制作免杀程序，最后成功实现了免杀，技术很简单，所以又害怕了，一定要多打补丁多更新杀毒软件

离实战还缺些什么技术或步骤

• 虽然能够免杀，但是并没有植入其他电脑的方式，比如没有自己复制的功能或者利用系统或协议漏洞进行攻击的步骤

实践过程记录

免杀效果评价

• 首先查询攻击机和靶机的IP地址，kali攻击机192.168.44.128，Win7靶机192.168.1.108

• 根据攻击机的IP用msfvenom直接生成meterpreter可执行文件
  

• 上传到VirScan进行扫描,39个杀软中有21个显示它是病毒，可以看出这个根本不能免杀
  

• 这时要对它进行伪装，使用编码器进行编码，看杀软查杀率能不能降低
  

• 还是上传到VirScan上去检测一下,还是39个杀软中有21个显示它是病毒，根本没有变化
  

• 编码10次，看看能不能降低查杀率
  

• 上传到VirScan上去检测，还是39个杀软中有21个显示它是病毒，还是根本没有变化
  

• 通过上面的实验可以看出现在编码的方式没有免杀的功能，还是要变换方式进行免杀的改造

Veil-Evasion生成可执行文件

• 打开Veil-Evasion
  

• 生成可执行文件，过程此处省略生成命令
  

• 上传到VirScan，39个杀软中有10个显示它是病毒，比前面的实验查杀率降低了很多
  

C语言调用Shellcode

• 半手工打造一个恶意软件

• 生成一个c语言格式的Shellcode数组，替换代码中的对应部分，并拷贝到VS中编译运行
  

• 上传到VirScan，39个杀软中有4个显示它是病毒，比前面的实验查杀率又降低了很多
  

逆序修改shellcode

• 用函数求shellcode数组的逆序
  

• 全部替换ffffff

• 添加求逆的函数部分

• 提交VirScan查杀,39个杀软中有1个显示它是病毒，比前面的实验查杀率又降低了很多
  

实战（win8+360安全卫士）

• 用杀毒软件检测，通过了查杀
  

• Kali开启监听
  

• Windows开启程序,回连Kali

• 成功获得shell