當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

远控免杀专题(21)-HERCULES免杀

發布時間：2023/12/1 编程问答 36 豆豆

生活随笔收集整理的這篇文章主要介紹了远控免杀专题(21)-HERCULES免杀小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

轉載：https://mp.weixin.qq.com/s/Rkr9lixzL4tiL89r10ndig

免殺能力一覽表

幾點說明：

1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作為免殺或殺軟查殺能力的判斷指標。

5、完全不必要苛求一種免殺技術能bypass所有殺軟，這樣的技術肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能bypass目標主機上的殺軟就足夠了。

一、HERCULES介紹

HERCULES，2017年的免殺工具，可以直接生成msf可用的payload并進行免殺，也可以對自定義payload進行免殺，還可以進行后門文件捆綁，并可進行upx加殼，使用比較簡單，但安裝可能遇到不少問題。

二、安裝HERCULES

2.1 安裝前的準備

HERCULES對操作系統有一定要求，支持下面這些系統。

另外HERCULES是go語言編寫，需要安裝go語言。

golang的安裝可以參考這里https://github.com/golang/go/wiki/Ubuntu

2.2 安裝HERCULES

先從Github上克隆到本地

https://github.com/EgeBalci/HERCULES

安裝依賴

go get github.com/fatih/color

執行安裝

go run Setup.go

安裝成功

在HERCULES目錄下執行chmod +x HERCULES

然后執行./HERCULES，看到下面的界面說明安裝成功

2.3 安裝可能遇到的問題

1、操作系統版本不符

安裝腳本setup.go里面對操作系統要求比較嚴，版本號不符合都不行。

我開始用的parrot 4.4的，它要求必須3.1。當然你可以換個符合的操作系統，也可以修改setup.go文件，不過后面的有些依賴。

2、執行時出錯

安裝成功后執行./HERCULES,提示[!] HERCULES is not installed properly, please run setup.sh

這個問題比較模糊，需要先刪除HERCULES/SOURCE/HERCULES文件，再回到HERCULES目錄下再次安裝go run Setup.go。記得重新安裝前刪掉HERCULES/SOURCE/HERCULES文件。

3、執行時路徑配置

在執行時可能還會遇到一個這種錯誤

./HERCULES: line 4: cd: SOURCE: No such file or directory ./HERCULES: line 5: ./HERCULES: No such file or directory

這時需要配置一個變量$HERCULES_PATH,也就是HERCULES的目錄

export HERCULES_PATH=/root/sec/HERCULES

4、生成后門出錯

在使用HERCULES生成后門文件時，可能遇到一個imported錯誤

[*] export GOOS=windows && export GOARCH=386 && export GOPATH=$HERCULES_PATH && go build -ldflags "-H windowsgui -s -w" test1.go./hack.go:7: imported and not used: "EGESPLOIT/RSE"

這個時候需要配置一個變量$GOPATH

export GOPATH=/root/go

三、HERCULES使用說明

HERCULES也是和msf無縫對接的免殺工具，免殺相對也比較簡單一些，具體免殺的實現可以查看HERCULES/src/EGESPLOIT/RSE/BypassAV.go文件，使用了傳統的添加花指令的方式進行免殺。

另外還使用了upx加殼進行保護等。

四、利用HERCULES生成后門

執行./HERCULES，選擇1，生成payload

進入選擇payload的界面，選擇最常規的Meterpreter Reverse TCP，也就是1.

后面輸入主控的IP和端口,還有詢問是否添加后門可持續化、進程遷移、BYpass等功能，然后輸入生成文件的名稱test3，最后選加upx殼。

每個選擇都需要確認一次

最終生成

測試機執行可正常上線

打開殺軟進行測試,360殺毒靜態查殺預警，火絨沒提示。

可過火絨的靜態和動態檢測

五、HERCULES小結

HERCULES免殺原理相對簡單，對payload添加無用代碼和多次跳轉的方式進行免殺處理，從實際測試來看免殺效果只能說是一般，據官方演示在2017年的時候免殺效果應該很棒。可以對其免殺代碼進行定制化修改，做成自己輪子工具，別往virustotal.com上傳，這樣被查殺概率也會小一些。

六、參考資料

官方github：https://github.com/EgeBalci/HERCULES

總結

以上是生活随笔為你收集整理的远控免杀专题(21)-HERCULES免杀的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：远控免杀专题(20)-GreatSCT免
下一篇：远控免杀专题(22)-SpookFlar