课程目标

1.了解前边学到的免杀原理在工具中的应用

2.运用前边所学的免杀原理结合免杀的工具进行针对火绒和360的免杀

教材内容

一、课程引入

我们平时在制作msf的木马时，如果直接放到目标机器上进行运行，可能会有火绒、360等杀毒软件进行拦截，阻止我们的木马执行。为了让我们的目标主机可以顺利执行我们的木马程序，在了解了免杀的原理之后，我们再来学习几个简单的工具

二、常用的几个免杀工具

1、web界面远控 manjusaka

项目地址：https://github.com/YDHCUI/manjusakamanjusaka 是一个基于web界面的仿 cobalt strike 做出的远控，生成的exe木马具有一定的免杀功效。我们在centos7上搭建服务端，来供我们的客户端进行访问

直接下载安装包并上传到我们的centos7服务器上，上传成功后解压并执行

执行成功后找到登陆界面的账号和密码，即可访问管理界面进行登陆

登陆成功后就是manjusaka的主页，里边显示我们上线的主机和可以执行的操作

在目标设定中生成我们需要执行的木马程序

点击生成NPC，就可以对木马程序的连接进行设置

设置回调的地址是我们服务器地址的80端口，加密的密钥随意，类型选择exe即可，同样这个可以对linux的系统进行主机上线

点击下载之后就可以上传到目标主机进行执行

可以躲避火绒和360的静态查杀

可以执行的命令列表如下

可以执行系统命令或者查看当前进程

2、潮汐在线免杀平台

项目地址：http://bypass.tidesec.com/

潮汐免杀平台只需要我们上传shellcode就可以对上传的shellcode进行处理，编译成exe文件。打开我们的项目地址

输入msf生成的shellcode。选择加密方式、密码和系统，用python的加载器生成

生成成功后直接下载即可

所有的在线平台的弊端就是时效性，因为是公开的所以免杀的效果会慢慢变差，可以自己找一些其他的在线网站进行免杀处理，潮汐平台目前不免杀。

3. shellcode_loader

项目地址：

https://github.com/Axx8/ShellCode_Loader

使用加密算法对shellcode 进行加密，但是因为是公开的项目，所以这些项目我们以学习项目思路为主

将项目下载下来，执行shellcode_encryption.exe shellcode.c ，即可生成一段密文shellcode

然后将密文放进python文件的加载器，使用pyinstaller打包即可

生成exe文件不免杀，但是过程中使用的AES加密算法的python加载器值得学习

4.Ant-AntV

项目地址：

https://github.com/shellfeel/Ant-AntV

是一个实战使用过的免杀工具，在处理shellcode的时候免杀的效果较好，使用pyinstaller的加载器进行加载。

使用msf生成二进制文件

进入到项目后执行

安装依赖库，将msf生成的二进制文件shellcode.bin移动到bean_raw下，重命名为beacon.bin，之后执行命令打包成exe文件即可

对火绒和360均静态免杀

5. 掩日

项目地址：

https://github.com/1y0n/AV_Evasion_Tool

掩日是适用于红队的综合免杀工具，在安装环境依赖之后即可使用生成的shellcode生成免杀的木马程序

首先安装tdm-gcc和64位go语言环境

然后打开掩日即可

以通用免杀和进程注入为例，使用生成的shellcode.c生成木马文件，加密算法选择默认的栅栏，注入进程为notepad.exe

可以过火绒和360的静态查杀和火绒的动态查杀

课程小结

通过本节的课程，我们可以看到不管是别人开发的远控生成的木马文件，还是在线的免杀平台，还是一些公开的免杀项目，我们都可以使用这些工具对msf生成的shellcode进行处理，达到免杀的效果，工具处理过程中的思路我们也可以借助开源代码进行学习，丰富我们对于免杀的理解。