20155302《网络对抗》Exp3 免杀原理与实践

20155302《网络对抗》Exp3 免杀原理与实践

实验要求

1.正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧；(1.5分)

2.通过组合应用各种技术实现恶意代码免杀(1分)
（如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）

3.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（1分）

实验内容

报告评分 1.5分报告整体观感 0.5分
报告格式范围，版面整洁 加0.5。
报告排版混乱，加0分。

文字表述 1分报告文字内容非常全面，表述清晰准确 加1分。
报告逻辑清楚，比较简要地介绍了自己的操作目标与过程 加0.5分。
报告逻辑混乱表述不清或文字有明显抄袭可能 加0分

实验过程

首先学习了解杀毒软件的查杀原理

现在常见的杀毒软件查杀病毒技术主流有两种：特征码查杀和启发式查杀。

所谓特征码查杀技术，就是指杀毒软件将已知的病毒进行分析后，提取出该病毒的一组特征码，什么是特征码，我们知道，任何程序代码都有他自己的特点。就像世 界上永远没有两片相同的叶子，特征码病毒文件中一句或者几句特殊的代码。通过特征码，杀毒软件就能认出这 程序是病毒程序。

病毒的特征码主要分为：文件特征码（病毒存放在硬盘上的阶段）和内存特征码（病毒存已经到内存中的阶段）等。

所以引起大家的思考!如何才能机智的让原本我们的后门软件能够通过杀毒软件的查杀，从而不引起任何异常及警觉，这也是我们信息安全专业的要点，从而思考开始本次实验咯！

根据特征码查杀原理，目前市面上演化出的免杀方法有很多，主要可以分为对木马程序结构的修改和源代码的修改两种。简单的说免杀就是做整容，整得连老妈都不认得就行了。

免查杀的方法现在有很多：
1.修改特征码2.加花指令3.修改程序入口点4.修改程序的输入表5.加密6.加壳等等等等。

Virscan测试后门

先来使用实验二的后门程序来传到virscan上看看情况！

第一次使用这么高端的网站心里还是有点小激动滴！老师给我们介绍了virscan和virustotal两个网站，使用哪个都可以，先用virscan来试一试~

卧槽？？！这什么鬼竟然把我上传的后门当作广告，就因为包含我的学号20155302。。。好吧，忍了，我改！

扫描结束~51%的杀毒软件识别了出来。好可怕，这随便做的一个裸奔小后门就可以骗过近半的杀毒软件（