20145331魏澍琛《网络对抗》——免杀原理与实践

问题回答

1、杀软是如何检测出恶意代码的？

一个是基于特征码的检测，第二个是启发式恶意软件检测，最后是基于行为的恶意软件检测

2、免杀是做什么？

让病毒不被杀毒软件kill掉

3、免杀的基本方法有哪些？

a)可以用这次实验所涉及的改变特征码

b)加壳：就是相当于把你的后门代码封装起来，但是现在大部分公开的壳都能被杀毒软件查出来，效果其实不好

实践过程

一、使用msf生成后门程序的检测

1、用上节课所讲的msf生成一个后门

2、到相应网站上查一下，看下结果

3、编码之后看一下，发现还是一样

4、编码十次，结果还一样

二、使用veil-evasion生成后门程序的检测

1、使用veil-evasion

2、上网查杀一下

3、报错率低了，但是实质上没什么变化

三、利用shellcode编写后门程序的检测

1、使用msf生成一个C格式的shellcode

2、生成恶意代码，并上网扫描一下

3、用上个实验的方法攻击一波

4、最关键的部分——杀毒软件没杀出来这个后门，实验成功，实现了免杀

思考：离实战还缺些什么技术或步骤

这次实验解决掉了上次博客所谈到的后门在进入目标主机时被kill的问题，ok，那么还有一个问题是你怎么把这个后门植入目标主机？并让他自动运行起来和你的虚拟机建立起有效的连接，让你能够对目标主机进行相应的操作和控制？

实验体会

最有感触的一点是百度杀毒真的是弱爆了，我准备换360了，看着大家的360那么坚挺感觉我的电脑不堪一击啊（就说电脑最近为什么这么慢。。。）

老师给的网站很高大上啊，以后电脑上有可疑的文件我要都拿上去扫一扫

后门还是自己做的靠谱，软件自动生成的太次了，没有实际操作性

免杀最后一步做出来还是很激动的，但是想想我的电脑里可能同样有别人的后门不由心头一颤。。。