---恢復內(nèi)容開始---

一，實驗內(nèi)容

• 利用多種工具實現(xiàn)實現(xiàn)惡意代碼免殺
• 在另一臺電腦上，殺軟開啟的情況下，實現(xiàn)運行后門程序并回連成功

二，實驗步驟

（1）使用msf編碼器生成的后門程序

這里可以直接用上次實驗生成的后門程序，使用360安全衛(wèi)士檢測直接被檢測出來。

將程序上傳到virustotal網(wǎng)站去檢測，個人認為virustotal網(wǎng)站比vriscan更好。

可以看到66個殺軟中有53個檢測出來了這個后門程序。可以說是慘敗，沒有任何處理的后門程序還是很容易被檢測

出來的，但是還是有13個殺軟沒有檢測出來，值得思考。

（2）使用veil-evasion生成的后門程序

首先要安裝veil平臺。使用apt-get install veil-evasion，經(jīng)過長時間的下載安裝后，提示我錯誤有幾個包不能下載，

按照終端給出的提示，只要更新一下就ok了。

終于安裝好后，進入veil頁面，使用list顯示可選項再使用use 來選擇選項，我們選擇第一項，然后再list可以看到需要

你選擇模板，即使用什么語言模板來編譯后門程序，我選擇的是c語言模板。還有很多模板可以嘗試。

?

然后設置參數(shù)，主要是LHOST和LPORT，然后使用generate就可以生成程序了。

我們把生成的后門拷貝到win10系統(tǒng)下。然后進行檢測。

360敗下陣來。

還是有31個警告，不過還是比裸著的后門要強上不少。

（3）shellcode編碼

在kali里生成一個c語言模式的shellcode

?

?

再使用gidt將shellcode復制，添加一些語句，實驗指導里有，然后進行編譯。

然后將exe文件拷貝到win10主機下運行，在msf平臺進行配置開始回連，我這里的回連失敗了，在win下運行exe時會

報錯我覺得可能是linux下編譯器的問題win不兼容？

于是我嘗試在windows下使用codeblock進行編譯。

在此之前先將linux下生成的exe進行檢測。

半數(shù)的殺軟都能識別。再試試360

并不能檢測出木馬。

然后在windows下進行shellcode編碼。先直接將linux下的代碼復制在win下編譯，生成exe，進行測試。

我在這里對shellcode進行了分三段異或，除三余數(shù)不同異或數(shù)不同，生成的exe360完全掃不出來，在上傳測試

只有三個可以檢測出來！

?

virustotal還是厲害，有16個殺軟檢測出來了，但是比較之前進步還是挺大的！

在來試試回連。

可以可以回連也成功了！

（4）加殼

?使用upx來進行加殼。

拷貝到win下立馬被360識別了

上傳后upx加殼也慘敗

三，實驗感想：

實驗整個過程很有趣，感覺自己像個黑客，但是通過實驗要反思，隨隨便便生成后門程序用殺軟來檢測，也不能做到百分百的檢測到。

說明防御攻擊的困難程度。以后還是要多小心。

?

?

?

?

?

?

---恢復內(nèi)容結束---

轉載于:https://www.cnblogs.com/20154317wuhan/p/8743474.html

總結

以上是生活随笔為你收集整理的Exp3 免杀原理与实践的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。