实践内容:
(1)理解免杀技术原理
- 概念:免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。是一种能使病毒木马避免被杀毒软件查杀的技术。
- 基于特征码:通过特定数据来识别病毒,通常修改一处就可以免杀。特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软件就不会报警,以此确定特征码的位置。
- 基于行为:典型的行为如连接恶意网站、开放端口、修改系统文件,典型的“外观”如文件本身签名、结构、厂商等信息等。
(2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;
- 原始文件免杀效果
(3)通过组合应用各种技术实现恶意代码免杀
-
使用编码器
-
Veil-Evasion
-
c语言shellcode
(4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
- 360安全卫士
基础问题回答
(1)杀软是如何检测出恶意代码的?
- 基于特征码:通过特定数据来识别病毒,通常修改一处就可以免杀。特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软件就不会报警,以此确定特征码的位置。
- 基于行为:典型的行为如连接恶意网站、开放端口、修改系统文件,典型的“外观”如文件本身签名、结构、厂商等信息等。
(2)免杀是做什么? - 通过一些措施避免恶意软件被AV查杀
(3)免杀的基本方法有哪些? - 免杀方法:
1. 加冷门壳
2. 加壳改壳
3. 加花指令
4. 改程序入口点
5. 再编译
6. 反弹端口
7. 隧道技术
实践总结与体会
- 杀毒软件和防火墙也不是那么有用,免杀的后门也很简单。
离实战还缺些什么技术或步骤?
- 欺骗靶机下载和启动恶意代码