0x01 免殺能力一查表

幾點說明：

1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2019.12.12)，火絨版本5.0.33.13(2019.12.12)，360安全衛士12.0.0.2001(2019.12.17)。

4、其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作為免殺的精確判斷指標。

5、完全不必要苛求一種免殺技術能bypass所有殺軟，這樣的技術肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能bypass目標主機上的殺軟就足夠了。

0x02 Avet介紹

Avet全稱AntiVirus Evasion Tool，2017年在blackhat大會上公開演示，可對shellcode，exe和dll等多種載荷進行免殺處理，使用了多種不同的免殺技術，具有較好的免殺效果，據說在blackhat大會上演示時免殺效果震撼全場。

0x03 安裝Avet

這個我安裝tdm-gcc失敗了，沒有往下去做了，搞了一天了，下次有時間在做吧
3.1、手動安裝
下載到本地

git clone https://github.com/govolution/avet

2、然后安裝wine

dpkg --add-architecture i386 apt-get update apt-get install wine -y apt-get install wine32 -y

3、安裝tdm-gcc

下載tdm64-gcc

wget -c --no-check-certificate https://nchc.dl.sourceforge.net/project/tdm-gcc/TDM-GCC%20Installer/tdm64-gcc-5.1.0-2.exe

安裝tdm64-gcc

wine tdm64-gcc-5.1.0-2.exe

之后在Avet目錄中執行python ./avet_fabric.py即可。

0x04 使用Avet進行免殺

執行python ./avet_fabric.py后會直接顯示Avet支持的各個模塊

我們隨便選擇一個模塊來生成payload，就選29了，：build_50xshikata_revhttps_win32.sh ，這時候看下是不是這個
基本上一路都是默認就可以，當然你也可以自己修改一些配置，可能會有更好的免殺效果，也可能生成的payload無法運行。。。

在msf里監聽windows/meterpreter/reverse_https

在測試機器上執行output.exe

可正常上線

打開殺軟測試一下，360和火絨全bypass

0x05 小結

可能是因為知名度太高，默認輸出的payload免殺能力只能算是一般，測試了幾個模塊，最好的免殺是13/71，最差的是36/71，不過相比msf原生的免殺已經好很多了。

而且Avet提供了強大的自定義功能，在build文件夾下可以看到所有的payload生成腳本，很多參數都可以自己設定。Avet框架也是比較成熟的，可以輕松的進行二次開發，很容易能開發出來自己的專用免殺工具。

0x06參考資料

Msf木馬過狗免殺之利用Avet過20+狗：https://zhuanlan.zhihu.com/p/38813500

AntiVirus Evasion Tool(avet)測試分析:https://3gstudent.github.io/3gstudent.github.io/AntiVirus-Evasion-Tool(avet)%E6%B5%8B%E8%AF%95%E5%88%86%E6%9E%90/

總結

以上是生活随笔為你收集整理的远控免杀专题9 --- Avet免杀的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。