20175328 Exp3 免杀原理与实践
目录 一、实验原理 (一)杀软原理 (二)免杀原理 二、基础问题回答 (一)杀软是如何检测出恶意代码的? (二)免杀是做什么的? (三)免杀的基本方法有哪些? 三、实践过程 (一)使用msf编码器生成后门程序及检测 (二)使用veil-evasion生成后门程序及检测 (三)使用加壳工具生成后门程序并检测 (四)使用shellcode生成后门程序并检测 四、思考 开启杀软能绝对防止电脑中恶意代码吗? 五、实践总结与体会 六、参考资料 一、实验原理 (一) 杀软原理 1、引擎与病毒库的交互作用,通过特征码提取与病毒库中的特征码进行比对识别病毒。 2、启发式Heuristic,通过程序的一些行为和特征来判断。 3、在虚拟机技术上的启发式,通过建立一个虚拟环境运行程序对其进行全方位的检测。 (二)免杀原理 使病毒木马免于被杀毒软件查杀 1、改变特征码 (1)有EXE:加压缩壳、加密壳 (2)有shellcode(如:Meterpreter):用encode进行编码,基于payload重新编译生成可执行文件 (3)有源代码:用其他语言进行重写再编译(veil-evasion) 2、改变行为 (1)通讯方式 使用反弹式连接 使用隧道技术,隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送,把所有要传送的数据全部封装到合法的报文里进行传送以绕过防火墙。 加密通讯数据 (2)操作模式