一个能够Bypass大部分杀软的工具:avoidz-master
来源:互联网 发布:计价软件 编辑:程序博客网 时间:2024/06/02 00:04
为“古典的黑客精神万岁“点赞
- 项目地址:(https://github.com/M4sc3r4n0/avoidz)
- 演示视频:https://www.youtube.com/watch?v=ZilOByKkrVk
安装部署:
- 下载:git clone https://github.com/M4sc3r4n0/avoidz.git
- 解压,进入avoidz目录,赋予setup.sh权限:
- 运行./setup.sh,安装相关的依赖:
(若遇Mingw32 Compiler报错:E: 无法定位软件包 mingw32,需在网上找存在Mingw32 Compiler的kali更新源,添加到kali的/etc/apt/sources.list 里)(分享一个更新源:http://packages.ubuntu.com/trusty/amd64/mingw32/download)
- 运行avoid.rb,生成免杀后门。查看使用方法:
简简单单,四个参数,生成ByPass后门:
- 然后根据提示输入‘Y’开始监听,会跳出msf的窗口,自动监听:
(若遇到报错:“xterm: Selected font has no non-zero width for ISO-8859-1 encoding”,修改avoidz.rb源码中的字体,修改为其他字体,总共四处,如下图:)
输入"Y"监听后,自动跳出msf的窗口:
- 后门上传到靶机,运行,成功弹回:
总结avoidz生成的后门通过杀软测试:
感谢楼主分享,简单看了下,这个根本还是利用powershell编码来执行shellcode,目前国内杀软不知道是怎么检测powershell这块的东西的 ,这里请@1024@tinklestar 两位二进制大牛来解答下!
安装的时候setup.sh会检查/root/.wine/drive_c/Python27/python27.dll,如果文件不存在,可以从https://www.dllme.com/dll/download/14091/python27.dll下载
另外gem的依赖gem install artii我是手动安装的avoidz生成exe的时候,我是手动在根目录下创建一个临时文件 touch raw_shellcode_temp,不然会失败
然而到最后我运行exe没收到反弹。。。
@iswin 因为powershell属于脚本语言,杀软对待他就像对待之前的vbscript脚本一样,powershell脚本只要没有什么敏感的行为(写启动项,写服务等), 一般不会被杀软报;现在powershell的表面免杀比普通PE的表面免杀好做,因为现在杀软对PE文件的恶意代码的查杀积累了很多的经验,引擎已经很成熟,对脚本的查杀力度比较小,主要是怕担心误报,而且powershell最后还是要调用shellcode去执行恶意代码的,而且shellcode等恶意代码不会落地,所以表面免杀做着很容易。我的愚见,抛砖引玉,希望大家一块讨论和实验。
@1024 1024大牛说的对(这id总有某社区的既视感)~钻了杀软空子,而且脚本的混淆姿势很多,对抗静态特征相对容易,微软在推禁用分配E属性页,如果推到了Poewrshell上这种可操作性就会小很多
@bear avoid生成exe的是不是有问题、建议多测试下~不同的操作系统环境测试下。谢谢表哥分享安装过程遇的坎~
@1024 谢谢表哥,学习了
@1024@tinklestar巨硬提供一个新的接口 AMSI ,不过国内杀软厂商跟进的好像比较少https://msdn.microsoft.com/en-us/library/windows/desktop/dn889587(v=vs.85).aspx这块是专门针对脚本类做的,Powershell 5.0 之后审计策略可以开启 ScriptBlock 这也是一项不错的用来回溯脚本类Loader不错的选择针对内存属性更改这块 Github 上有个开源项目做了一些小的尝试,地址我忘记了 = =
貌似挺多杀软开始拦截powershell的高危动作,看来以后也会有越来越多的杀软会对powrshell进行检测
测试了一下,企业版卡巴斯基秒杀
- 一个能够Bypass大部分杀软的工具:avoidz-master
- 一个轻松制作和处理矢量图的工具和方法, 希望对大家能够有帮助
- Linux常见命令,能够满足大部分需求!
- 可以crack大部分企业级无线网络的新工具
- 据说大部分资深程序员都必须掌握的工具
- 可能是一种通杀的waf bypass方式
- Mat 工具 能够做的事情
- 设计综合工具能够识别的状态机
- 一个最简单的Ajax实例(大部分是抄袭的)
- 一个封装了数据库大部分操作的JavaBean
- 一个能实现大部分购买商品功能的程序
- 一个绝种的漏洞——IIS 5.1 Directory Authentication Bypass
- 成为一个能够干活的人
- 一个稍微能够体现价值的暑假
- 一个能够实现简单功能的计算器
- 一个小程序能够反映的能力
- 常用大部分渗透工具下载
- mysql 的 多master对应一个slave
- arp脚本
- linux学习笔记之帮助命令与压缩解压缩命令
- 小明买书
- Android系统源码编译之5---安装xshell android环境 环境配置以及安装jdk
- Tensorflow手写数字识别之简单神经网络分类与CNN分类效果对比
- 一个能够Bypass大部分杀软的工具:avoidz-master
- 32、不一样的C++系列--函数模板
- 设计模式之备忘录模式
- 一个通用的Makefile
- SVN authz 配置详解 转载
- 一种Unable to build NVIDIA kernal module的解决方法
- leetcode 538. Convert BST to Greater Tree
- Top命令基础
- Java批量生成文件并写入内容
