Windows免杀小结(工具篇)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows免杀小结(工具篇)相关的知识,希望对你有一定的参考价值。

参考技术A TheFatRat: https://github.com/Screetsec/TheFatRat
安装过程介绍得很详细,这里稍微注意一下:

进入主程序后,先键入:6

选择生成bat文件:

之后用msf进行监听,在目标机器上执行.bat文件,免杀效果还行

Veil: https://github.com/Veil-Framework/Veil
安装过程参考: Veil3.1免杀安装
简单使用过程:

上传绕过效果还行:

当然病毒查杀很容易查出来,可以作为上传绕过手段

Shellter:
利用过程参考: Kali Shellter 5.1:动态ShellCode注入工具 绕过安全软件
这里使用apt-get安装:

安装以后,从终端启动:

键入“A”启用自动模式

PE目标为plink.exe,这里我们复制一个到root目录下

在提示PE目标时,输入:root/plink.exe

当询问是否启用隐身模式时输入:“Y”
在隐身模式新功能下,后门文件仍然具有原始文件的功能

当提示输入Payloads时选择“L”然后选择“1” Meterpreter_Reverse_TCP

之后输出攻击方ip,监听端口等等

Shellter将会在plink.exe中注入shellcode

这时我们发现跟原文件相比,root目录下的plink.exe文件变大了些,说明注入完成

之后启动msf:

我们把plink.exe上传到目标机

当我们用plink进行远程登录的时候,在kali中Metasploit也得到了一个session

老实说,我个人感觉msf得到的session不太稳定,建议提前使用:

注入到一个稳定的进程

AVIator是后门生成器实用程序,使用加密和注入技术来绕过AV检测。
需要.Net 4.6.1环境才能成功编译生成程序
项目地址: https://github.com/Ch0pin/AVIator

将msfvenom生成的shellcode输入到该工具的payload里。AES KEY和IV默认就可以
点击Encrypt,生成加密后的payload:

目标操作系统根据实际情况选择,这里选择x86通用一些。
这里选择注入类型,在内存中创建新类型。
另外也可以自定义图标。

点击generate exe后就可以生成exe后门程序了。
运行后可成功上线。

网上有很多靠python第三方工具来达到免杀效果的文章,也有python加载shellcode之类的文章。有pyinstaller、py2exe。这里说一种打包的方式Py2exe

在windows7虚拟机上安装python3.4和py2exe(只支持python3.4,使用pip即可)

利用msfvenom生成py脚本:

创建setup.py

这里我们打包生成exe

使用msf进行监听:

我测试的时候是使用下面的命令进行监听

运行生成的demo.exe,成功反弹:

免杀是真的牛批!

综上,经过本地测试和virustotal检测:
免杀效果:py2exe > TheFatRat > Shellter > Veil = AVIator

Veil生成的恶意程序上传到带有腾讯电脑管家的主机中不会被杀死,能正常上传,但能被查杀发现。
AVIator生成的恶意程序既能上传又能绕过查杀检测,但一运行就GG
py2exe贼稳

windows免杀工具三部曲(一)
windows免杀工具三部曲(二)

以上是关于Windows免杀小结(工具篇)的主要内容,如果未能解决你的问题,请参考以下文章

分享一个免杀的反弹shell工具(python脚本转换成exe)

社工找出幕后诈骗的黑手技巧篇

windows中使用Git工具连接GitHub(配置篇)

kali 免杀工具shellter安装以及使用

Python接口自动化测试框架(工具篇)-- 接口测试工具HTTPRUNNER

Windows逆向分析入门——代码篇