20145331魏澍琛《网络对抗》——免杀原理与实践
问题回答
1、杀软是如何检测出恶意代码的?
一个是基于特征码的检测,第二个是启发式恶意软件检测,最后是基于行为的恶意软件检测
2、免杀是做什么?
让病毒不被杀毒软件kill掉
3、免杀的基本方法有哪些?
a)可以用这次实验所涉及的改变特征码
b)加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,效果其实不好
实践过程
一、使用msf生成后门程序的检测
1、用上节课所讲的msf生成一个后门
2、到相应网站上查一下,看下结果
3、编码之后看一下,发现还是一样
4、编码十次,结果还一样
二、使用veil-evasion生成后门程序的检测
1、使用veil-evasion
2、上网查杀一下
3、报错率低了,但是实质上没什么变化
三、利用shellcode编写后门程序的检测
1、使用msf生成一个C格式的shellcode
2、生成恶意代码,并上网扫描一下
3、用上个实验的方法攻击一波
4、最关键的部分——杀毒软件没杀出来这个后门,实验成功,实现了免杀
思考:离实战还缺些什么技术或步骤
这次实验解决掉了上次博客所谈到的后门在进入目标主机时被kill的问题,ok,那么还有一个问题是你怎么把这个后门植入目标主机?并让他自动运行起来和你的虚拟机建立起有效的连接,让你能够对目标主机进行相应的操作和控制?
实验体会
最有感触的一点是百度杀毒真的是弱爆了,我准备换360了,看着大家的360那么坚挺感觉我的电脑不堪一击啊(就说电脑最近为什么这么慢。。。)
老师给的网站很高大上啊,以后电脑上有可疑的文件我要都拿上去扫一扫
后门还是自己做的靠谱,软件自动生成的太次了,没有实际操作性
免杀最后一步做出来还是很激动的,但是想想我的电脑里可能同样有别人的后门不由心头一颤。。。