免杀

目录 一、实验原理 （一）杀软原理 （二）免杀原理 二、基础问题回答 （一）杀软是如何检测出恶意代码的？ （二）免杀是做什么的？ （三）免杀的基本方法有哪些？ 三、实践过程 （一）使用msf编码器生成后门程序及检测 （二）使用veil-evasion生成后门程序及检测 （三）使用加壳工具生成后门程序并检测 （四）使用shellcode生成后门程序并检测 四、思考 开启杀软能绝对防止电脑中恶意代码吗？ 五、实践总结与体会 六、参考资料 一、实验原理 （一） 杀软原理 1、引擎与病毒库的交互作用，通过特征码提取与病毒库中的特征码进行比对识别病毒。 2、启发式Heuristic，通过程序的一些行为和特征来判断。 3、在虚拟机技术上的启发式，通过建立一个虚拟环境运行程序对其进行全方位的检测。 （二）免杀原理 使病毒木马免于被杀毒软件查杀 1、改变特征码 （1）有EXE：加压缩壳、加密壳 （2）有shellcode(如：Meterpreter）：用encode进行编码，基于payload重新编译生成可执行文件 （3）有源代码：用其他语言进行重写再编译（veil-evasion） 2、改变行为 （1）通讯方式 使用反弹式连接 使用隧道技术，隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送，把所有要传送的数据全部封装到合法的报文里进行传送以绕过防火墙。 加密通讯数据 （2）操作模式

目录 1. 实践基础 1.1 什么是恶意代码检测机制和免杀原理？ 1.1.1 免杀原理 1.1.2 恶意代码检测机制 1.1.3 免杀技术综述 1.2 基础问题回答 2. 实践内容 2.1 学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法 2.1.1 正确使用msf编码器，生成exe文件 2.1.2 msfvenom生成jar文件 2.1.3 msfvenom生成php文件 2.1.4 使用veil-evasion生成后门程序及检测 2.1.5 使用加壳工具尝试 2.1.6 使用C+shellcode编程 2.1.7 使用其他方法完成免杀 2.2 通过组合应用各种技术实现恶意代码免杀 2.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 4.1.3 总结与体会 1. 实践基础 1.1 什么是恶意代码检测机制和免杀原理？ 1.1.1 免杀原理 免杀技术，全称为反杀毒技术(Anti Anti-Virus)，是指对恶意软件的处理让其能够不被杀毒软件所检测，同时也是渗透测试中需要使用到的技术。 1.1.2 恶意代码检测机制 基于特征码的检测： 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等

2019-2020-2 《网络对抗技术》 Exp3 免杀原理与实践 一 . 知识小结 免杀概念 一般是对恶意软件做处理，让它不被杀毒软件所检测。 基础问题回答 杀软是如何检测出恶意代码的？ 基于特征码的检测 一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。 启发式恶意软件检测 就是根据些片面特征去推断。通常是因为缺乏精确判定依据。（非精确） 基于行为的恶意软件检测 为加入了行为监控的启发式。通过对恶意代码的观察研究，发现有一些行为是恶意代码共同的比较特殊的行为，杀软会监视程序的运行，如果发现了这些特殊行为，就会认为其是恶意软件。（非精确） 免杀是做什么？ 一般是对恶意软件做处理，让它不被杀毒软件所检测 免杀的基本方法有哪些？ 改变特征码 只有EXE— 加壳（压缩壳 加密壳） 有shellcode(像Meterpreter）—利用encode进行编码 有源代码——用其他语言进行重写再编译 改变行为 通讯方式 尽量使用反弹式连接：meterpreter本身即主要使用反弹连接 使用隧道技术：如dns2tcp、iodine可将流量封闭为DNS协议包 加密通讯数据：如使用reverse-https进行转发 操作模式 基于内存操作

2019-2020-2 网络对抗技术 20175214 Exp3 免杀原理与实践 一、预备知识 1.恶意代码检测机制 (1)基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。 (2)启发式恶意软件检测 “When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.” 对恶意软件检测来说，就是如果一个软件在干通常是恶意软件干的事，看起来了像个恶意软件，那我们就把它当成一个恶意软件吧。典型的行为如连接恶意网站、开放端口、修改系统文件，典型的“外观”如文件本身签名、结构、厂商等信息等。各个厂商会定义自己的检测模式。 (3)基于行为的恶意软件检测 从理论上讲，基于行为的检测相当于是启发式的一种，或者是加入了行为监控的启发式。 2.免杀原理(AV) (1)改变特征码 有EXE 加壳：压缩壳 加密壳 有shellcode(像Meterpreter） 用encode进行编码 基于payload重新编译生成可执行文件 有源代码 用其他语言进行重写再编译（veil-evasion） (2)改变行为 通讯方式 尽量使用反弹式连接 使用隧道技术 加密通讯数据

目录 一、学习目标 二、基础问题回答 三、实验步骤 1、使用msf编码器msfvenom生成后门程序 2、使用Msfvenom生成jar等其他文件 用下面的命令生成php文件 3、Veil-Evasion 4、用shellcode编程生成后门程序 5、加壳 三、实验遇到的问题 1、装veil的时候，缺少Python3.4的包。 2、没有找到hyperion.exe程序。 四、实验感想 一、学习目标 (1)正确使用msf编码器（0.5分），msfvenom生成如jar之类的其他文件（0.5分），veil-evasion（0.5分），加壳工具（0.5分），使用shellcode编程（1分） (2)通过组合应用各种技术实现恶意代码免杀(0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） (3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本（加分0.5） 二、基础问题回答 1、杀软是如何检测出恶意代码的？ 基于特征码的检测：简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。 启发式恶意软件检测：启发式Heuristic，简单来说

2019-2020-2 网络对抗技术 20175311胡济栋 Exp3 免杀原理与实践 目录 一、实验介绍 二、实验内容 任务一：学习正确使用msf编码器、msfvenom生成如jar之类的其他文件、veil、加壳工具、 使用C + shellcode编程以及课堂其他课堂为介绍方法(3分) 任务二：通过组合应用各种技术实现恶意代码免杀(0.5分) 任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本(0.5分) 三、实验要求 四、实验感想 一、实验介绍 1.免杀原理 免杀技术，全称为反杀毒技术(Anti Anti-Virus)，是指对恶意软件的处理让其能够不被杀毒软件所检测，同时也是渗透测试中需要使用到的技术。 学习免杀就必须了解恶意软件检测工具是如何运作的，知己知彼，百战百胜。 2.恶意软件检测机制 基于特征码的检测 简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。 AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。 启发式恶意软件检测 启发式Heuristic，简单来说，就是根据些片面特征去推断，通常是因为缺乏精确判定依据。 对恶意软件检测来主说，就是如果一个软件在干通常是恶意软件干的事，看起来了像个恶意软件

2019-2020-2 20175320 《网络对抗技术》Exp3 后门原理与实践 一、实验要求 了解metasploit、veil、加壳工具的使用方法，并利用以上软件实现后门程序与杀软之间的共存，并利用后门程序获取被攻击方的shell。 二、实验目标 1、正确使用msf编码器 2、msfvenom生成如jar之类的其他文件 3、使用veil进行免杀处理 4、使用upx加压缩壳，hyperion加加密壳 5、使用C + shellcode编程进行免杀 6、使用python + shellcode进行免杀（使用其他课堂未介绍方法） 7、通过组合应用各种技术实现恶意代码免杀 8、用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 三、实验过程 1.准备工作 （1）安装veil 用 sudo apt-get install veil 命令安装veil，如果有问题可以尝试使用 sudo apt-get update 和 sudo apt-get upgrade 命令更新一下软件包。 安装完成后使用 veil 命令打开veil，输入Y继续安装直到完成。期间可能会因为网络问题下载中断，并且需要手动确认部分软件的安装，这一准备工作需要较长的时间。 （2）hyperion加密壳应用 由于我的kali系统里没有hyperion的文件夹

一、免杀原理及基础问题回答 1.免杀原理 2.基础问题回答 3.免杀效果评价 二、实验内容 任务一：正确使用msf编码器，msfvenom生成如jar之类的其他文件，veil-evasion，自己利用shellcode编程等免杀工具或技巧 使用msf编码器生成各种后门程序及检测 使用veil-evasion生成后门程序及检测 半手工注入Shellcode并执行 使用其他课程未介绍的方法 任务二：通过组合应用各种技术实现恶意代码免杀 任务三：用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 三、开启杀软能绝对防止电脑中恶意代码吗？ 四、实验总结与体会 一、免杀原理及基础问题回答 1.免杀原理 一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础。 2.基础问题回答 杀软是如何检测出恶意代码的？ 基于特征码的检测：简单来说一段特征码就是一段或多段数据，经过对许多恶意代码的分析，我们发现了该类恶意代码经常出现的一段或多段代码，而且是其他正常程序没有的，即特征码。如果杀软检测到一个可执行文件包含特征码就认为其是恶意代码。

0.实验准备 1.实践内容（4分） 1.1 方法（3分） - 正确使用msf编码器 （0.5分）， - msfvenom生成如jar之类的其他文件 （0.5分）， - veil （0.5分）， - 加壳工具 （0.5分）， - 使用C + shellcode编程 （0.5分）， - 使用其他课堂未介绍方法 （0.5分） 1.2 通过组合应用各种技术实现恶意代码免杀 (0.5分) （如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。） 1.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本 （加分0.5） 2. 基础问题回答 （1）杀软是如何检测出恶意代码的？ （2）免杀是做什么？ （3）免杀的基本方法有哪些？ （4）开启杀软能绝对防止电脑中恶意代码吗？ 3. 实验感想 实验准备 1.免杀 一般是对恶意软件做处理，让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀，就时清楚杀毒软件（恶意软件检测工具）是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样，了解了免杀的工具和技术，你也就具有了反制它的基础 。 2.免杀技术(Evading AV)综述 就常见恶意软件而言，一般AV的检出率为40%-98%。就算你用了最好的AV，恶意软件依然有1

1.基础问题回答 （1）杀软是如何检测出恶意代码的？ 恶意代码与其检测是一个猫捉老鼠的游戏，单从检测的角度来说。反恶意代码的脚步总是落后于恶意代码的发展，是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测，基于网络的检测方法主要有基于神经网络”、基于模糊识别“等方法，本文主要讨论基于主机的检测。 恶意代码分析方法 静态分析方法 是指在不执行二进制程序的条件下进行分析，如反汇编分析，源代码分析，二进制统计分析，反编译等，属于逆向工程分析方法。 （1）静态反汇编分析，是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。 （2）静态源代码分析，在拥有二进制程序的源代码的前提下，通过分析源代码来理解程序的功能、流程、逻辑判定以及程序的企图等。 （3）反编译分析，是指经过优化的机器代码恢复到源代码形式，再对源代码进行程序执行流程的分析。 动态分析方法 是指恶意代码执行的情况下利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程对静态分析结果进行验证。 （1）系统调用行为分析方法 正常行为分析常被应用于异常检测之中，是指对程序的正常行为轮廓进行分析和表示，为程序建立一个安全行为库，当被监测程序的实际行为与其安全行为库中的正常行为不一致或存在一定差异时，即认为该程序中有一个异常行为，存在潜在的恶意性。