(1)殺軟是如何檢測出惡意**的?
(2)免殺是做什麼?
免殺,從字面進行理解,避免被防毒軟體kill,也就是惡意**要能夠不被防毒軟體發現進入並駐足於系統。
(3)免殺的基本方法有哪些?
非常規方法
基於上一次實驗的基礎完成了這次的實驗,這兩次的實驗很有趣,上次的實驗為了讓自己完成任務或者說為了讓自己開心開心,還需要假裝沒有防毒軟體,關閉或者在防毒軟體中把我們的後門手動新增信任,然而這次的實驗,很明顯,自己高階了一些,不用關閉殺軟也可以攻擊自己了,可是與此同時更深的恐懼也就襲來,完全太可怕了,竟然自己都能攻擊得了自己,要是真正的專業人士想攻擊,豈不易如反掌!除此之外,發現瑞星這個防毒軟體有點強,除此之外,發現查殺與編譯的語言也貌似有些關係,用c語言編譯的後門比c++編譯的後門更容易被查殺,還有360查殺貌似更基於行為進行檢測,而電腦管家感覺基本就是基於特徵庫進行查殺。
由於這次實驗我選擇的病毒掃瞄引擎是virscan,所以在此先對上次實驗產生的後門進行乙個測試,我選擇的是virscan,還是比較好用,唯一的bug就是檔案名字一旦包括數字就會說包含廣告?所以需要對上次的後門重新命名一次,結果直接上圖吧:
的確上次試驗一拷到主機就被查殺了!
-p,指定需要使用的payload(攻擊荷載)。如果需要使用自定義的payload,請使用'-'或者stdin指定。
-f,指定輸出格式 (使用 --help-formats 來獲取msf支援的輸出格式列表)
-e,指定需要使用的encoder(編碼器)
-a,指定payload的目標架構,指定payload的目標平台
-b,設定規避字符集,比如: '\x00\xff'
-i,指定payload的編碼次數
-x,指定乙個自定義的可執行檔案作為模板
msf編碼訓練
查殺率依舊很高。因為shikata_ga_nai總會有解碼(decoder stub)部分需要加入的exe中,殺軟只要盯住這些就可以了。
veil-evasion
veil-evasion是乙個免殺平台,與metasploit有點類似,在kalil軟體庫中有,但預設沒裝,需要我們自己安裝,只是安裝過程路漫漫其修遠兮~
選擇1。
一拷到我的windows就不行了
加入信任,放到**上掃瞄下,然後開始回連,回連成功
c語言呼叫shellcode
加殼
加殼了之後更嚴重了。
組合實現免殺
嘗試了很多方法:
Exp3 免殺原理與實踐
實驗做到中間的時候,在利用virustotal和virscan兩個平台上檢測時看到確實有不少殺軟做的不怎麼樣。實驗做到最後,發現確實我們對一些軟體進行加殼處理後殺軟也沒殺出來。分析殺軟檢測和免殺原理的時候確實感覺有種魔高一尺道高一丈的感覺 雖然這樣用詞不太準確 真正感覺到我們網路空間的安全性對於一般...
20155331 Exp3 免殺原理與實踐
殺軟是如何檢測出惡意 的?1.基於特徵碼的檢測,2.啟發式惡意軟體檢測,3.基於行為的惡意軟體檢測。免殺是做什麼?讓病毒不被防毒軟體殺掉。免殺的基本方法有哪些?1.改變特徵碼 2.加殼 這次實驗讓我深入理解了免殺原理,也讓我知道了原來以前認為很安全的防毒軟體業並沒有那麼可靠,因為有很多方法可以實現免...
20155202張旭 Exp3 免殺原理與實踐
改變特徵碼 改變行為方式 改變行為 非常規方法免殺是做什麼?免殺的基本方法有哪些?1.msfvenom使用編碼器 編碼後呢,按理論上講,編碼會降低檢出率,大不了多編碼幾次,總會檢不出來。一次編碼 msfvenom p windows meterpreter reverse tcp e x86 shi...