远控免杀从入门到实践（2）工具总结篇(3)

msf 正常上线，virustotal.com 中 7/69 个报毒，卡巴、瑞星、微软三个都没 bypass。。

操作便利★★

免杀效果★★★★★

推荐指数★★★★★

详细文章链接：https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

BackDoor-factory，又称后门工厂 (BDF)，BDF 是也是一款老牌的免杀神器，其作者曾经在 2015 年的 blackhat 大会上介绍过该工具。该工具还有很强大的一些其他功能，比如加私钥证书、CPT 等等。但是作者已经于 2017 年停止更新，免杀效果就算现在来看也还算不错的。

利用 backdoor-factory，用户可以在不破坏原有可执行文件的功能的前提下，在文件的代码裂隙中插入恶意代码 Shellcode。当可执行文件被执行后，就可以触发恶意代码。Backdoor Factory 不仅提供常用的脚本，还允许嵌入其他工具生成的 Shellcode，如 Metasploit。

原理：可执行二进制文件中有大量的 00, 这些 00 是不包含数据的, 将这些数据替换成 payload, 并且在程序执行的时候,jmp 到代码段, 来触发 payload。backdoor-factory 是把 shellcode 插入到一个正常的 exe 文件的代码”缝隙”中，类似于捆绑但不是捆绑，所以需要提前准备一个被捆绑的宿主 exe 文件。

当使用 BackDoor-Factory 直接生成免杀后门时，virustotal.com 中 13/69 个报毒。

还可以使用自己定义的 shellcode，virustotal.com 中 14/71 个报毒

操作方便★★

免杀效果★★★★

推荐指数★★★★

详细文章链接：https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

Avet 全称 AntiVirus Evasion Tool，2017 年在 blackhat 大会上公开演示，可对 shellcode，exe 和 dll 等多种载荷进行免杀处理，使用了多种不同的免杀技术，具有较好的免杀效果，据说在 blackhat 大会上演示时免杀效果震撼全场。

生成的 payload 在 virustotal.com 中 17/71 个报毒

可能是因为知名度太高，默认输出的 payload 免杀能力只能算是一般，测试了几个模块，最好的免杀是 13/71，最差的是 36/71，不过相比 msf 原生的免杀已经好很多了。

而且 Avet 提供了强大的自定义功能，在 build 文件夹下可以看到所有的 payload 生成脚本，很多参数都可以自己设定。Avet 框架也是比较成熟的，可以轻松的进行二次开发，很容易能开发出来自己的专用免杀工具。

操作便利★★

免杀效果★★★★

推荐指数★★★★

详细文章链接：https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

TheFatRat 创建的后门或者 payload，可以在 Linux，Windows，Mac 和 Android 上等多种平台上执行，可生成 exe、apk、sh、bat、py 等多种格式。TheFatRat 可以和 msf 无缝对接，并且集成内置了 Fudwin、Avoid、backdoor-factory 等多个免杀工具，对 powershell 的免杀姿势尤其多样。

TheFatRat 创建的后门格式和支持的平台比较多样化，而且还支持生成 CDROM/U 盘中能自动运行 (生成 AutoRun 文件) 的后门文件，并且可以对 payload 更改图标，具有一定伪装效果。

使用 TheFatRat 生成 ps1-exe，virustotal.com 中 22/70 个报毒

使用 TheFatRat 生成加壳 exe，virustotal.com 中 12/70 个报毒