Veil-evasion

• 属于Veil-framework框架的一部分

• 由Python语言编写

• 用于自动生成免杀payload

  • 集成msf payload，支持自定义payload

  • 集成各种注入技术

  • 集成各种第三方工具

    • Hyperion、PEScrambler、BackDoor Factory

  • 集成各种开发打包运行环境

    • Python：pyinstaller py2exe
    • C#：mono for.NET
    • C：mingw32

操作

• 按照指引使用payload生成一个exe，路径在/var/lib/veil/output/compiled/xxx.exe
• 同时会生成一个msf配置文件在/var/lib/veil/output/handlers/xxx.rc
  • msfconsole -r xxx.rc或者在msf命令行手动敲里面的命令，侦听reverseShell的连接
• 在把python打包成exe时，可以使用pwnstaller进行混淆

Veil-catapult

• Payload的投递工具
  • 集成veil-evasion生成免杀payload或自定义payload
  • 使用Impacket上传二进制payload文件
  • 利用SMB

另一种免杀思路

• 传统防病毒查杀原理
  • 查找文件特殊字符串，匹配查杀
• 找到触发AV查杀的精确字符串，将其修改
  • 将执行程序分片成很多小段
  • 将包含MZ头的第一个片段与后续片段依次组合后交给AV查杀
  • 重复以上步骤，最终精确定位出
  • Evade、hexeditor

1. 自己写
2. 加密
3. 不写文件
4. 找到特征字符串

shellter

• shellcode 注入工具，我们可以将shellcode注入到其它程序上，从而来躲避杀毒软件的查杀。
• 只支持32位PE程序，使用正常的exe文件作为模板，将payload代码加入模板内
• 参考：https://www.cnblogs.com/hkleak/p/12912706.html