70.遠控免殺專題(70)-終結篇

BypassAntiVirus

本文為Tide安全團隊成員重劍無鋒原創文章，轉載請聲明出處！

鄭重聲明：文中所涉及的技術、思路和工具僅供以安全為目的的學習交流使用，任何人不得將其用於非法用途以及盈利等目的，否則后果自行承擔！

---

一直從事web安全多一些，對waf繞過還稍微有些研究，但是對遠控免殺的認知還大約停留在ASPack、UPX加殼、特征碼定位及修改免殺的年代。近兩年隨着hw和紅藍對抗的增多，接觸到的提權、內網滲透、域滲透也越來越多。攻擊能力有沒有提升不知道，但防護水平明顯感覺提升了一大截，先不說防護人員的技術水平如果，最起碼各種雲WAF、防火牆、隔離設備部署的多了，服務器上也經常能見到安裝了殺軟、軟waf、agent等等，特別是某數字殺軟在國內服務器上尤為普及。這個時候，不會點免殺技術就非常吃虧了。

但web狗一般對逆向和二進制都不大熟，編譯運行別人的代碼都比較費勁，這時候就只能靠現成的工具來曲線救國了。為此，我從互聯網上搜集了大約20款知名度比較高的免殺工具研究免殺原理及免殺效果測試，后面還學習了一下各種語言編譯加載shellcode的各種姿勢，又補充了一些白名單加載payload的常見利用，於是就有了這一個遠控免殺的系列文章。

• 工具篇內容：msf自免殺、Veil、Venom、Shellter、BackDoor-Factory、Avet、TheFatRat、Avoidz、Green-Hat-Suite、zirikatu、AVIator、DKMC、Unicorn、Python-Rootkit、ASWCrypter、nps_payload、GreatSCT、HERCULES、SpookFlare、SharpShooter、CACTUSTORCH、Winpayload等。

• 代碼篇內容：C/C++、C#、python、powershell、ruby、go等。

• 白名單內容：總計涉及113個白名單程序，包括Rundll32.exe、Msiexec.exe、MSBuild.exe、InstallUtil.exe、Mshta.exe、Regsvr32.exe、Cmstp.exe、CScript.exe、WScript.exe、Forfiles.exe、te.exe、Odbcconf.exe、InfDefaultInstall.exe、Diskshadow.exe、PsExec.exe、Msdeploy.exe、Winword.exe、Regasm.exe、Regsvcs.exe、Ftp.exe、pubprn.vbs、winrm.vbs、slmgr.vbs、Xwizard.exe、Compiler.exe、IEExec.exe、MavInject32、Presentationhost.exe、Wmic.exe、Pcalua.exe、Url.dll、zipfldr.dll、Syncappvpublishingserver.vbs等。

• 其他內容：在整個免殺系列文章編寫過程中，還穿插寫了幾篇免殺實踐的文章，比如shellcode免殺實踐、cs免殺實踐、mimikatz免殺實踐等幾篇文章，水平比較一般，各位小伙伴湊合着看吧。

已完成的免殺文章及相關軟件下載：https://github.com/TideSec/BypassAntiVirus

遠控免殺系列文章打包及配套工具百度網盤下載： 鏈接: https://pan.baidu.com/s/1YKbNHzWudMwjGx-3_7KZxw 提取碼: 5q5q 解壓密碼為www.tidesec.com

免殺能力一覽表

1、表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由於本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作為殺軟查殺能力或免殺能力的判斷指標。

5、完全不必要苛求一種免殺技術能bypass所有殺軟，這樣的技術肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能bypass目標主機上的殺軟就足夠了。

6、由於白名單程序加載payload的免殺測試需要殺軟的行為檢測才合理，靜態查殺payload或者查殺白名單程序都沒有任何意義，所以這里對白名單程序的免殺效果不做評判。

 

文章導航

1.遠控免殺專題(1)-基礎篇：https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2.遠控免殺專題(2)-msfvenom隱藏的參數：https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3.遠控免殺專題(3)-msf自帶免殺(VT免殺率35/69)：https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4.遠控免殺專題(4)-Evasion模塊(VT免殺率12/71)：https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5.遠控免殺專題(5)-Veil免殺(VT免殺率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6.遠控免殺專題(6)-Venom免殺(VT免殺率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7.遠控免殺專題(7)-Shellter免殺(VT免殺率7/69)：https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8.遠控免殺專題(8)-BackDoor-Factory免殺(VT免殺率13/71)：https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9.遠控免殺專題(9)-Avet免殺(VT免殺率14/71)：https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10.遠控免殺專題(10)-TheFatRat免殺(VT免殺率22/70)：https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11.遠控免殺專題(11)-Avoidz免殺(VT免殺率23/71)：https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12.遠控免殺專題(12)-Green-Hat-Suite免殺(VT免殺率23/70)：https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

13.遠控免殺專題(13)-zirikatu免殺(VT免殺率39/71)：https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

14.遠控免殺專題(14)-AVIator免殺(VT免殺率25/69)：https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

15.遠控免殺專題(15)-DKMC免殺(VT免殺率8/55)：https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

16.遠控免殺專題(16)-Unicorn免殺(VT免殺率29/56)：https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

17.遠控免殺專題(17)-Python-Rootkit免殺(VT免殺率7/69)：https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

18.遠控免殺專題(18)-ASWCrypter免殺(VT免殺率19/57)：https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ

19.遠控免殺專題(19)-nps_payload免殺(VT免殺率3/57)：https://mp.weixin.qq.com/s/XmSRgRUftMV3nmD1Gk0mvA

20.遠控免殺專題(20)-GreatSCT免殺(VT免殺率14/56)：https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ

21.遠控免殺專題(21)-HERCULES免殺(VT免殺率29/70)：https://mp.weixin.qq.com/s/Rkr9lixzL4tiL89r10ndig

22.遠控免殺專題(22)-SpookFlare免殺(VT免殺率16/67)：https://mp.weixin.qq.com/s/LfuQ2XuD7YHUWJqMRUmNVA

23.遠控免殺專題(23)-SharpShooter免殺(VT免殺率22/57)：https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg

24.遠控免殺專題(24)-CACTUSTORCH免殺(VT免殺率23/57)：https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw

25.遠控免殺專題(25)-Winpayloads免殺(VT免殺率18/70)：https://mp.weixin.qq.com/s/YTXT31mCOWhMZEbCg4Jt0w

26.遠控免殺專題(26)-C、C++加載免殺(上)(VT免殺率9-70)：https://mp.weixin.qq.com/s/LftwV4bpuikDklIjuRw2LQ

27.遠控免殺專題(27)-C、C++加載免殺(中)(VT免殺率8-70)：https://mp.weixin.qq.com/s/McVWP386q5in6cQ8hRxwdA

28.遠控免殺專題(28)-C、C++加載免殺(下)(VT免殺率3-71)：https://mp.weixin.qq.com/s/Kw3-fdyHyiettYn44WNZQw

29.遠控免殺專題(29)-C#加載免殺-5種方式(VT免殺率8-70)：https://mp.weixin.qq.com/s/Kvhfb13d2_D6m-Bu9Darog

30.遠控免殺專題(30)-Python加載免殺-8種方式(VT免殺率10-69)：https://mp.weixin.qq.com/s/HyBSqrF_kl2ARaCYAMefgA

31.遠控免殺專題(31)-powershell加載-4種方式(VT免殺率5-58)：https://mp.weixin.qq.com/s/Tw-FAduHMVzek_YxIErQDQ

32.遠控免殺專題(32)-Go加載免殺-3種方式(VT免殺率7-70)：https://mp.weixin.qq.com/s/TmfDQgRfEp2qg9SKbD0Quw

33.遠控免殺專題(33)-Ruby加載免殺(VT免殺率0-58)：https://mp.weixin.qq.com/s/2eF6LklvdGetgbhYWdaFIg

34.遠控免殺專題(34)-白名單MSBuild.exe(VT免殺率4-57)：https://mp.weixin.qq.com/s/1WEglPXm1Q5n6T-c4OhhXA

35.遠控免殺專題(35)-白名單Msiexec.exe(VT免殺率27-60)：https://mp.weixin.qq.com/s/XPrBK1Yh5ggO-PeK85mqcg

36.遠控免殺專題(36)-白名單InstallUtil.exe(VT免殺率3-68)：https://mp.weixin.qq.com/s/gN2p3ZHODZFia2761BVSzg

37.遠控免殺專題(37)-白名單Mshta.exe(VT免殺率26-58)：https://mp.weixin.qq.com/s/oBr-syv2ef5IjeGFrs7sHg

38.遠控免殺專題(38)-白名單Rundll32.exe(VT免殺率22-58)：https://mp.weixin.qq.com/s/rmC4AWC6HmcphozfEZhRGA

39.遠控免殺專題(39)-白名單Regsvr32.exe(VT免殺率18-58)：https://mp.weixin.qq.com/s/6v8w2YZLxHJFnXb-IbnYAA

40.遠控免殺專題(40)-白名單Cmstp.exe(VT查殺率為21-57)：https://mp.weixin.qq.com/s/tgtvOMDGlKFwdRQEnKJf5Q

41.遠控免殺專題(41)-白名單Ftp.exe：https://mp.weixin.qq.com/s/rnmCIx5oxA9z-0OfjoUAVw

42.遠控免殺專題(42)-白名單Regasm/Regsvcs.exe：https://mp.weixin.qq.com/s/MCMjxPdUNdwV8is04AklLA

43.遠控免殺專題(43)-白名單Compiler.exe：https://mp.weixin.qq.com/s/Sm_3cJlSk6Pud1CLp-eAEQ

44.遠控免殺專題(44)-白名單MavInject.exe：https://mp.weixin.qq.com/s/dPOGj1VLhqwxJ0e-gOs8vA

45.遠控免殺專題(45)-白名單presentationhost.exe：https://mp.weixin.qq.com/s/r9l5Lh6MHv-Ece2DFr3EsA

46.遠控免殺專題(46)-白名單IEexec.exe：https://mp.weixin.qq.com/s/wVbFrU9cE3hCYAENjmnSUQ

47.遠控免殺專題(47)-白名單winrm.vbs、slmgr.vbs：https://mp.weixin.qq.com/s/B3oiMrEB98jtm4DvD2t2tQ

48.遠控免殺專題(48)-白名單pubprn.vbs：https://mp.weixin.qq.com/s/btiaVMBPxfxG4oXPa7__kw

49.遠控免殺專題(49)-白名單Xwizard.exe：https://mp.weixin.qq.com/s/8gaweOqkOrT77riaevvFUg

50.遠控免殺專題(50)-白名單winword.exe：https://mp.weixin.qq.com/s/qXWK5i2cDaletSzkAEzL3w

51.遠控免殺專題(51)-白名單msdeloy.exe：https://mp.weixin.qq.com/s/1oEzadXZxd3JukrBhNxxyw

52.遠控免殺專題(52)-白名單psexec.exe：https://mp.weixin.qq.com/s/JdOmlqif67GcSqZuuGPz0Q

53.遠控免殺專題(53)-白名單WMIC.exe：https://mp.weixin.qq.com/s/QNqM8Vdlu-SOP7ZqnRWY3w

54.遠控免殺專題(54)-白名單SyncAppvPublishingServer.vbs：https://mp.weixin.qq.com/s/Ud7TbeMJb8fsRlaGHWhBww

55.遠控免殺專題(55)-白名單Pcalua.exe：https://mp.weixin.qq.com/s/Aj9A5_LRS_uX8XN1rdUobQ

56.遠控免殺專題(56)-白名單zipfldr.dll：https://mp.weixin.qq.com/s/-qPVenI_lk-ZnMA4j9XNRQ

57.遠控免殺專題(57)-白名單Url.dll：https://mp.weixin.qq.com/s/GzoYvfj7NkXe_nc8eOVEBQ

58.遠控免殺專題(58)-白名單DiskShadow.exe：https://mp.weixin.qq.com/s/pr0KYjk80YIk4qJO5h3Yaw

59.遠控免殺專題(59)-白名單Odbcconf.exe：https://mp.weixin.qq.com/s/uOwqbW0nkG776zZz6O_WFA

60.遠控免殺專題(60)-白名單Forfiles.exe：https://mp.weixin.qq.com/s/1-HyeNrd4IXQYsyG6dHQkw

61.遠控免殺專題(61)-白名單Te.exe：https://mp.weixin.qq.com/s/m37wm620qQ1xw4BN2hGOpg

62.遠控免殺專題(62)-白名單CScript.exe-WScript.exe：https://mp.weixin.qq.com/s/jzWHq7Yc1UjOwnXulIAPKQ

63.遠控免殺專題(63)-白名單InfDefaultInstall.exe：https://mp.weixin.qq.com/s/mrtX4ayCXJJ1LPfBlSuvHw

64.遠控免殺專題(64)-Msf自編譯免殺補充：https://mp.weixin.qq.com/s/HsIqUKl7j1WJ4yyYzXdPZg

65.遠控免殺專題(65)-shellcode免殺實踐補充：https://mp.weixin.qq.com/s/J78CPtHJX5ouN6fxVxMFgg

66.遠控免殺專題(66)-工具篇總結：https://mp.weixin.qq.com/s/WdErH1AOaI3B5Kptu7DK5Q

67.遠控免殺專題(67)-白名單篇總結：https://mp.weixin.qq.com/s/2bC5otYgIgGnod-cXwkfqw

68.遠控免殺專題(68)-Mimikatz免殺實踐(上)：https://mp.weixin.qq.com/s/CiOaMnJBcEQfZXV_hopzLw

69.遠控免殺專題(69)-Mimikatz免殺實踐(下)：https://mp.weixin.qq.com/s/0p88rj-tWClLa_geKMkPgw

70.遠控免殺專題(70)-終結篇：https://mp.weixin.qq.com/s/4shT8tP-Gu3XX7fnWKQHAA

完結！撒花~

關於Tide安全團隊

Tide安全團隊致力於分享高質量原創文章，研究方向覆蓋網絡攻防、Web安全、移動終端、安全開發、IoT/物聯網/工控安全等多個領域，對安全感興趣的小伙伴可以關注或加入我們。

Tide安全團隊自研開源多套安全平台，如Tide(潮汐)網絡空間搜索平台、潮啟移動端安全管控平台、分布式web掃描平台WDScanner、Mars網絡威脅監測平台、潮汐指紋識別系統、潮巡自動化漏洞挖掘平台、工業互聯網安全監測平台、漏洞知識庫、代理資源池、字典權重庫、內部培訓系統等等。

Tide安全團隊自建立之初持續向CNCERT、CNVD、漏洞盒子、補天、各大SRC等漏洞提交平台提交漏洞，在漏洞盒子先后組建的兩支漏洞挖掘團隊在全國300多個安全團隊中均擁有排名前十的成績。團隊成員在FreeBuf、安全客、安全脈搏、t00ls、簡書、CSDN、51CTO、CnBlogs等網站開設專欄或博客，研究安全技術、分享經驗技能。

對安全感興趣的小伙伴可以關注Tide安全團隊Wiki：http://paper.TideSec.com 或團隊公眾號。