其他分享
首页 > 其他分享> > 20165229 NetSec Exp3免杀原理与实践

20165229 NetSec Exp3免杀原理与实践

作者:互联网

20165229 NetSec Exp3免杀原理与实践

实践内容

1)正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧;

2)通过组合应用各种技术实现恶意代码免杀

(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)

3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

基础问题回答

(1)杀软是如何检测出恶意代码的?

答:AV厂商检测恶意软件的方式主流的就三种:

基于特征码的检测:每个程序都会有一段特征码,或者说是一段数据。杀毒软件可以检测某个程序的特征码是否包含恶意代码的特征码,以此来判定是否为恶意代码

启发式恶意软件检测:杀毒软件检测某个程序在系统中做的事情,是不是恶意代码做的事情。以此来判断是不是恶意代码

基于行为的恶意软件检测:也是启发式的一种,可以理解为加了监控模式的启发式检测

(2)免杀是做什么?

答:免杀就是就是让我们的恶意软件没法被以上三种方式找到。

(3)免杀的基本方法有哪些?

答:对于针对杀软基于特征码的检测方法,可以改变或者隐藏恶意代码的特征码。比如使用加壳或者是异或改变特征码。

实践过程记录

MSF编码器

使用virscan进行扫描,结果如下所示



大多数软件可以查杀该病毒,所以仅改变编码是不行的。

安全管家还是能轻易的查出他的问题


安全管家无法查杀.php文件

安装veil

还是被发现了,免杀做的还不够

vi 20165229.c创建一个文件,将刚刚生成的unsigned char buf[]复制到其中

事实证明,不得行,代码再复杂也没用。

通过组合应用各种技术实现恶意代码免杀

用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

受害者:win7虚拟机
杀毒软件:电脑管家13.3.20237.212
对2016529.exe加密壳,再压缩壳,生成5229buf_Hyperion_upxed.exe

被发现了。。。。。

实验心得体会

通过这次的免杀实验,我掌握了恶意代码躲避杀毒软件检测的方法,体会到了病毒程序的恐怖。发现了只要将恶意代码稍作修改,就能逃脱杀毒软件真的检测,可见最好的方法还是不下载不明软件,不点击不正规的网站,及时更新病毒库。...我也不知道我的安全管家怎么了,在实验中我每次把测试的恶意代码从kali拖到自己电脑时都没有安全警告提示,后来发现再打开就又了。可能他会云杀毒。

标签:NetSec,exe,免杀,Exp3,恶意代码,程序,5229,检测
来源: https://www.cnblogs.com/zkkj/p/10633746.html