网络攻防技术作业

实践要求

(1)理解免杀技术原理
(2)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧；
（成功实现了免杀的。如何做成功的简单语言描述即可，不要截图、指令。与杀软共生的结果验证要截图。）
(3)通过组合应用各种技术实现恶意代码免杀
(4)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

实践内容

1.基础问题回答
（1）杀软是如何检测出恶意代码的？
恶意代码与其检测是一个猫捉老鼠的游戏，单从检测的角度来说。反恶意代码的脚步总是落后于恶意代码的发展，是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测，基于网络的检测方法主要有基于神经网络”基于模糊识别“等方法，本文主要讨论基于主机的检测。
（2）免杀是做什么？
免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。单从汉语“免杀”的字面意思来理解，可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。
（3）免杀的基本方法有哪些
开源免杀：指在有病毒、木马源代码的前提下，通过修改源代码进行免杀。
手工免杀：指在仅有病毒、木马的可执行文件(.exe)（PE文件）的情况下进行免杀。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JE,JNE 换成JMP等.
如果对汇编不懂的偏移可以去查看8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处)执行后，使用jmp指令无条件调回原代码处继续执行下一条指令
2.适用范围:通用的改法,建议大家要掌握这种改法.
方法六:一键加壳法
1.修改方法:直接把文件拖入UPX加壳软件内，据说这种方法是麦子在兄弟网络发布的
2.适用范围:能够有效的免杀exe文件,建议大家要掌握这种改法.

使用msf编码器

简单的用msfvenom生成的shellcode会被检测出来。