首页 > 代码库 > 20145331魏澍琛《网络对抗》——免杀原理与实践

20145331魏澍琛《网络对抗》——免杀原理与实践

20145331魏澍琛《网络对抗》——免杀原理与实践

问题回答

1、杀软是如何检测出恶意代码的?

一个是基于特征码的检测,第二个是启发式恶意软件检测,最后是基于行为的恶意软件检测

2、免杀是做什么?

让病毒不被杀毒软件kill掉

3、免杀的基本方法有哪些?

a)可以用这次实验所涉及的改变特征码

b)加壳:就是相当于把你的后门代码封装起来,但是现在大部分公开的壳都能被杀毒软件查出来,效果其实不好

实践过程

一、使用msf生成后门程序的检测

1、用上节课所讲的msf生成一个后门

技术分享

2、到相应网站上查一下,看下结果

技术分享

 

3、编码之后看一下,发现还是一样

技术分享

技术分享

技术分享

4、编码十次,结果还一样

技术分享

二、使用veil-evasion生成后门程序的检测

1、使用veil-evasion

技术分享

技术分享

技术分享

技术分享

技术分享

2、上网查杀一下

3、报错率低了,但是实质上没什么变化

技术分享

三、利用shellcode编写后门程序的检测

1、使用msf生成一个C格式的shellcode

技术分享

技术分享

2、生成恶意代码,并上网扫描一下

技术分享

3、用上个实验的方法攻击一波

技术分享

4、最关键的部分——杀毒软件没杀出来这个后门,实验成功,实现了免杀

技术分享

技术分享

技术分享

思考:离实战还缺些什么技术或步骤

这次实验解决掉了上次博客所谈到的后门在进入目标主机时被kill的问题,ok,那么还有一个问题是你怎么把这个后门植入目标主机?并让他自动运行起来和你的虚拟机建立起有效的连接,让你能够对目标主机进行相应的操作和控制?

实验体会

最有感触的一点是百度杀毒真的是弱爆了,我准备换360了,看着大家的360那么坚挺感觉我的电脑不堪一击啊(就说电脑最近为什么这么慢。。。)

老师给的网站很高大上啊,以后电脑上有可疑的文件我要都拿上去扫一扫

后门还是自己做的靠谱,软件自动生成的太次了,没有实际操作性

免杀最后一步做出来还是很激动的,但是想想我的电脑里可能同样有别人的后门不由心头一颤。。。

 

20145331魏澍琛《网络对抗》——免杀原理与实践