远控免杀从入门到实践-工具总结篇作者重剑无锋.pdfVIP

远控免杀从入门到实践-工具总结篇 作者：重剑无锋 原文链接：https://mp weixin qq com/s/WdErH AOaI3B5Kptu7DK5Q 本文由 干货 收集整理：/test/index.php 郑重声明：文中所涉及的技术、思路和工具 以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！ 一、前言 在了解了免杀的一些基础知识和 Metasploit 自带的一些免杀方式之后，我开始学习和研究市面上知名度比较高的免杀工具，从互联网上找到了大约 30 多个免杀工具，从中筛选出来了 21 个工具 进行免杀测试和学 耗时一个多月时间。 这些工具有的免杀效果也算一般，但可能只是因为发布时间长了一些，生成的 payload 都被杀软都加入了特征库，有几款工具都是在 blackhat 大会上发布的，甚至在免杀史上具有一些里程碑意 义，但目前来看免杀效果也比较一般了。我们主要是学习他们的免杀原理和技巧，进而能打造自己的免杀秘术。 已完成的免杀文章及相关软件 ：/TideSec/BypassAntiVirus 二、免杀效果概览 本文工具篇涉及的工具：Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、DKMC、 Unicorn、Python-Rootkit、ASWCrypter、nps payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload 等。 免杀测试主要是使用了 metasploit 或 cobaltstrike 生成的代码或程序进行免杀处理，在实验机 (win7 x ) 上安装了 360 全家桶和火绒进行本地测试，在 /上进行在 线查杀（如果是自己做免杀，建议测试机不要联互联网，更不要上传到 类似的平台上）。 我从 中选择了几款常见的杀软拿出来做个对比。 几点说明： 1、上表中标识 √ 说明相应杀毒软件未检测出 ，也就是代表了 Bypass。 2、为了更好的对比效果，大部分测试 payload 均使用 msf 的 windows/meterperter/reverse tcp 模块生成。 3、由于本机测试时只是安装了 360 全家桶和火绒，所以默认情况下 360 和火绒杀毒情况指的是静态+动态查杀。360 杀毒版本 160(2020.01.01)，火绒版本 1 6(2020.01.01)，360 安全卫士 002(2020.01.01)。 4、其他杀软的检测指标是在 （简称 VT）上在线查杀，所以可能只是代表了静态查杀能力，数据 参考，不足以作为杀软查杀能力或免杀能力的判断指标。 5、完全不必要苛求一种免杀技术能 bypass 所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能 bypass 目标主机上的杀软就足够 了。 2 3 由于每种免杀方法和工具之前都发过文章一一介绍了，这里只是做一个总结和索引，所以本文中尽量只是简要文字描