Veil-evasion
属于Veil-framework框架的一部分
由Python语言编写
用于自动生成免杀payload
操作
- 按照指引使用payload生成一个exe,路径在
/var/lib/veil/output/compiled/xxx.exe
- 同时会生成一个msf配置文件在
/var/lib/veil/output/handlers/xxx.rc
msfconsole -r xxx.rc
或者在msf命令行手动敲里面的命令,侦听reverseShell的连接
- 在把python打包成exe时,可以使用pwnstaller进行混淆
Veil-catapult
- Payload的投递工具
- 集成veil-evasion生成免杀payload或自定义payload
- 使用Impacket上传二进制payload文件
- 利用SMB
另一种免杀思路
- 传统防病毒查杀原理
- 查找文件特殊字符串,匹配查杀
- 找到触发AV查杀的精确字符串,将其修改
- 将执行程序分片成很多小段
- 将包含MZ头的第一个片段与后续片段依次组合后交给AV查杀
- 重复以上步骤,最终精确定位出
- Evade、hexeditor
- 自己写
- 加密
- 不写文件
- 找到特征字符串
shellter
- shellcode 注入工具,我们可以将shellcode注入到其它程序上,从而来躲避杀毒软件的查杀。
- 只支持32位PE程序,使用正常的exe文件作为模板,将payload代码加入模板内
- 参考:https://www.cnblogs.com/hkleak/p/12912706.html