关于免杀,工具繁多,这里随便推荐一款曾经我特别喜欢用的。Phanom_evasion,只能绕过火绒,不能绕过Windows Defender
免杀木马生成工具
Phantom-Evasion is an antivirus evasion tool written in python (both compatible with python and python3) capable to generate (almost) fully undetectable executable even with the most common x86 msfvenom payload.
Github地址:https://github.com/oddcod3/Phantom-Evasion
1、执行下列命令拉取,启动
git clone http://github.com/oddcod3/Phantom-Evasion
cd Phantom-Evasion
python3 phantom-evasion.py
cd /home/kali/Phantom-Evasion
python3 phantom-evasion.py
2、启动后先选择7进行安装,安装过程及其漫长,半个多小时做好准备。还不能挂代理安装,是最恶心的。途中让你确认一些选项,默认或者全选都行。
还有一个选项是选完确认后会重启kali,突然退回登录页面。重新登录后再进行7即可。
3、最后安装完毕后,生成木马还是会有报错
在github上找issues找到了解决方案
Have a look at /Phantom-Evasion/Setup/Phantom_lib.py and search in file for 'pfx = crypto'
The attribute is stated as PKCS12Type
Compare it with the attribute in /usr/lib/python3/dist-packages/OpenSSL/crypto.py and you will find out that it should be simply PKCS12
To fix this, change it in /Phantom-Evasion/Setup/Phantom_lib.py from PKCS12Type to PKCS12
也就是说,进入到工具的根目录,打开Phantom_lib.py,然后搜索pfx = crypto注意空格不能少,不然搜不到,然后去掉Type即可
4、免杀生成测试
- 选择windows版本
- 选择第2个TCP的来测试一下
- 回车
- 下面的一些选项,可以根据自己的喜好选
- 退出后有个小彩蛋
5、测试一下
MSF监听
放入桌面上,执行成功绕过火绒
当前火绒版本
6、放入windows2008的开机启动项后,重启就自动执行,也没有安全警告了。