远控免杀从入门到实践（2）工具总结篇(6)

生成了一个 hta 文件进行测试，virustotal.com 上查杀率为 29/56

Unicorn 使用比较简单，可以生成 powershell 代码、macro 宏代码、hta、dde 等格式的 payload 文件，可以在社工时直接使用，不过因为生成的代码关键字比较明显，所以静态查杀很多都没通过，只能说生成代码多样但免杀效果一般。

操作便利★★

免杀效果★★★★

推荐指数★★★★

详细文章链接：https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

Python-Rootkit，2017 年开源的一款工具，当时号称 Bypass all anti-virus，主要是对 python 代码进行多次编码，然后利用 py2exe 把 python 代码打包成 exe，其实最终执行的是 powershell 命令，使用了 PowerSploit 的 Invoke-Shellcode.ps1 来反弹 msf 的 shell。

程序还添加了后门持续化的功能，大体就是 10 秒钟检测一次连接是否正常，如果连接不存在就再重连 msf，另外还使用了注册表添加了自启动项。

virustotal.com 上查杀率为 7/69，如果有动态检测，估计这个查杀率会非常高。

Python-Rootkit 在测试中因为 msf5 一直没法上线折腾了很长时间，官方 issue 居然没有反馈这个问题的，后来调试了半天发现是 Invoke-Shellcode.ps1 和 msf 的问题。

免杀效果整体感觉一般，还是 python 生成 exe，执行后调用 powershell 下载 Invoke-Shellcode.ps1，然后反弹 shell，应该很容易触发杀软的行为检测。

操作便利★★★★

免杀效果★★★

推荐指数★★★

详细文章链接：https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ

ASWCrypter 是 2018 年开源的免杀工具，原理比较简单，使用 msf 生成 hta 代码，然后使用 python 脚本对 hta 代码进行一定编码处理，生成新的 hta 后门文件，从而达到免杀效果。

生成 hta 后门文件，virustotal.com 上查杀率为 19/57

ASWCrypter 是使用 msfvenom 生成基于 powershell 的 hta 后门文件，然后进行编码处理，达到一定的免杀效果，不过因为会调用 powershell，行为检测还是很容易被检测出来。

操作便利★★★★

免杀效果★★★★

推荐指数★★★★

详细文章链接：https://mp.weixin.qq.com/s/XmSRgRUftMV3nmD1Gk0mvA

nps_payload 是 2017 年开源的工具，安装使用都比较简单,nps_payload 可以生成基于 msbuild 的 xml 文件和独立执行的 hta 文件，并对 xml 文件和 hta 文件做了一定的混淆免杀，从而达到免杀的效果。

Microsoft Build Engine 是一个用于构建应用程序的平台，此引擎也被称为 msbuild，它为项目文件提供一个 XML 模式，该模式控制构建平台如何处理和构建软件。Visual Studio 使用 MSBuild，但它不依赖于 Visual Studio。通过在项目或解决方案文件中调用 msbuild.exe，可以在未安装 Visual Studio 的环境中编译和生成程序。

使用 nps_payload 生成的 hta 文件，virustotal.com 上查杀率为 7/57

nps_payload 只是使用了白名单 msbuild.exe 方法，nps_payload 还对生成的文件进行了混淆处理，使用非常简单，免杀效果也是不错的。

操作便利★★★★

免杀效果★★★

推荐指数★★★★

详细文章链接：https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ

GreatSCT 可以基于 Metasploit、自定义 shellcode、powershell 等生成 payload，然后可利用多种白名单程序进行加载，从而达到免杀的目的。

支持的 6 种白名单方式:

1、Installutil.exe： 安装程序工具是一款命令行工具，允许您通过运行安装程序组件来安装和卸载特定程序集中的服务器资源。

2、Msbuild.exe： Microsoft Build Engine 是一个用于构建应用程序的平台。这个引擎，也称为 MSBuild。