20145307陈俊达《网络对抗》Exp3 免杀原理与实践

20145307陈俊达《网络对抗》Exp3 免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的？

恶意代码中一般会有一段有较明显特征的代码也就是特征码，如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配，就会把该程序当作恶意软件。
通过对恶意代码的观察、研究，有一些行为是恶意代码的共同行为，而且比较特殊。所以当一个程序在运行时，杀毒软件会监视其行为，如果发现了这种特殊的行为，则会把它当成恶意软件。

免杀是做什么？

我感觉就是绕过防火墙 杀毒软件进行攻击啊 获取靶机的权限就好了

免杀的基本方法有哪些？

加壳：就是相当于把你的后门代码封装起来，但是现在大部分公开的壳都能被杀毒软件查出来
加花指令：就是加一段垃圾代码，但是并不影响程序的正常执行，加了花指令后，使一些杀毒软件无法正确识别木马程序
再编译：如果有源代码可以使用其他语言重新编写再编译，或者利用已有的shellcode构造payload重新编译生成；
修改行为：尽量少做能被杀毒软件直接检测到的敏感行为，可以使用反弹式连接，或者减少对系统注册表之类的修改。

实践内容

msf生成的后门文件放在virscan.org中进行扫描，扫描结果如下：

哇 效果不是很好 好多软件都发现了 不行不行继续搞事 这次循环十次试一次下将生成的文件放到网站上扫描一下：

可以发现无论编码多少次都是一样，所以想要利用编码次数来达到免杀效果显然是不行的。

使用veil-evasion生成后门程序的检测

我自己装的kali 换了一万个虚拟机终于装好了veil，在此提一下 先升级到kali4.9内核，然后千万别用git clone下载，那个下的有问题，千万别用！改一下源用大连东软的就行，然后apt-get安装 之后升级一下settings.py文件就可以使用新版的veil了
放到网站上扫描一下：

比之前用msf生成的文件报毒率要更低，但是查出来了：

利用shellcode编写后门程序的检测

先使用msf生成一个C语言格式的shellcode，编译运行后，在kali上测试其是否可用：

将shellcode逆序

将shellcode先进行逆序操作得到另外一个数组，然后之后再把它逆序回来，重新编写代码，编译运行，放到网上的结果，比之前的免杀率要稍微高一些：

将shellcode与字母进行异或

将shellcode与字母进行异或，改变了其特征码

将shellcode逆序和异或结合

将异或与逆序相结合，编写代码运行

离实战还缺些什么技术或步骤

shellcode还是比veil要强很多的，veil毕竟是工具，机器是死的，人才是活的，构造出好的shellcode才是王道啊

实验总结与体会
体会啊！我把360卸了，感觉他没啥用，嘻嘻，留一个windows defender就行了，保持漏洞攻击防止DDay攻击，av软件我是真的怕了，不用了，占内存