Windows免杀小结（工具篇）

TheFatRat： https://github.com/Screetsec/TheFatRat

安装过程介绍得很详细，这里稍微注意一下：

进入主程序后，先键入：6

选择生成bat文件：

之后用msf进行监听，在目标机器上执行.bat文件，免杀效果还行

Veil： https://github.com/Veil-Framework/Veil

安装过程参考： Veil3.1免杀安装

简单使用过程：

上传绕过效果还行：

当然病毒查杀很容易查出来，可以作为上传绕过手段

Shellter：

利用过程参考： Kali Shellter 5.1：动态ShellCode注入工具 绕过安全软件

这里使用apt-get安装：

安装以后，从终端启动：

键入“A”启用自动模式

PE目标为plink.exe，这里我们复制一个到root目录下

在提示PE目标时，输入：root/plink.exe

当询问是否启用隐身模式时输入：“Y”

在隐身模式新功能下，后门文件仍然具有原始文件的功能

当提示输入Payloads时选择“L”然后选择“1” Meterpreter_Reverse_TCP

之后输出攻击方ip，监听端口等等

Shellter将会在plink.exe中注入shellcode

这时我们发现跟原文件相比，root目录下的plink.exe文件变大了些，说明注入完成

之后启动msf：

我们把plink.exe上传到目标机

当我们用plink进行远程登录的时候，在kali中Metasploit也得到了一个session

老实说，我个人感觉msf得到的session不太稳定，建议提前使用：

注入到一个稳定的进程

AVIator是后门生成器实用程序，使用加密和注入技术来绕过AV检测。

需要.Net 4.6.1环境才能成功编译生成程序

项目地址： https://github.com/Ch0pin/AVIator

将msfvenom生成的shellcode输入到该工具的payload里。AES KEY和IV默认就可以

点击Encrypt，生成加密后的payload：

目标 *** 作系统根据实际情况选择，这里选择x86通用一些。

这里选择注入类型，在内存中创建新类型。

另外也可以自定义图标。

点击generate exe后就可以生成exe后门程序了。

运行后可成功上线。

网上有很多靠python第三方工具来达到免杀效果的文章，也有python加载shellcode之类的文章。有pyinstaller、py2exe。这里说一种打包的方式Py2exe

在windows7虚拟机上安装python3.4和py2exe(只支持python3.4，使用pip即可）

利用msfvenom生成py脚本：

创建setup.py

这里我们打包生成exe

使用msf进行监听：

我测试的时候是使用下面的命令进行监听

运行生成的demo.exe，成功反d：

免杀是真的牛批！

综上，经过本地测试和virustotal检测：

免杀效果：py2exe >TheFatRat >Shellter >Veil = AVIator

Veil生成的恶意程序上传到带有腾讯电脑管家的主机中不会被杀死，能正常上传，但能被查杀发现。

AVIator生成的恶意程序既能上传又能绕过查杀检测，但一运行就GG

py2exe贼稳

windows免杀工具三部曲（一）

windows免杀工具三部曲（二）

1免杀的基本概念

免杀是什么概念呢。大家对这个应该有个自己的定义吧。我是把免杀认为通过一些手段使我们的木马让杀毒软件无法查杀，这就是免杀。也是我对免杀的定义。

2.免杀技术的分类

免杀技术分为文件免杀、内存免杀、行为免杀，加壳免杀、加花免杀、修改特征码免杀。

文件免杀、内存免杀、行为免杀、

2.加壳免杀

为了防止被杀毒软件反跟踪查杀和被跟踪调试，同时也防止算法程序被别人静态分析。最基本的隐藏：不可见窗体＋隐藏文件。壳又分为压缩壳和加密壳。压缩壳一般压缩加壳程序，通常压缩后的文件大小只有原来的50%-70%但不影响程序的正常使用和所有功能。加密壳是用上了各种反跟踪技术保护程序不被调试、脱壳等，其加壳后的体积大小不是其考虑的主要因素。

3

加花免杀

什么是花指令？实际上，把它按照“乱指令”来理解可能更贴切、

就是故意将错误的机器指令放在了错误的位置，那反汇编时，就有可能连同后面的数据一起错误地反汇编出来，这样，我们看到的就可能是一个错误的反汇编代码。这就是“花指令”，简而言之，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。

4

修改特征码免杀、

因为杀毒软件查杀就是自己的病毒库和木马的特征码对比，如果相同的话就判断它是木马，当然我们只要改掉这些代码就可以免杀了。这就是修改特征码免杀。

下面是我的一点经验！

一.快速过瑞星查杀

1.用OD载入程序，来到程序入口点。

2.把入口点的第一句PUSH EBE改成POP EBP然后保存，就可以免杀了！

二.快速过诺顿查杀

1.（同‘一’）

2.再用WinUpack和北斗星这两款压缩软件进行压缩就OK了！可以免杀么！

---