远控免杀从入门到实践（2）工具总结篇(7)

3、Mshta.exe： Mshta.exe 运行 Microsoft HTML 应用程序，Windows OS 实用程序负责运行 HTA（HTML 应用程序）文件。我们可以运行 JavaScript 或 Visual 的 HTML 文件。

4、Regasm.exe：程序集注册工具读取程序集内的元数据，并将必要的记录添加到注册表中, 从而允许 COM 客户端透明地创建.NET 框架类。

5、Regsvcs.exe： RegSvcs 表示 Microsoft .NET 远程注册表服务，它以.NET 服务安装著称。

6、Regsvr 32.exe： Regsvr 32 是一个命令行实用程序，用于在 Windows 注册表中注册和取消注册 OLE 控件，例如 DLL 和 ActiveX 控件。

生成基于白名单 Msbuild.exe 的文件，virustotal.com 上 payload.xml 文件查杀率为 14/56

生成单个可执行 payload.exe 文件，virustotal.com 上查杀率为 30/69，这个 exe 文件查杀率略高。

GreatSCT 由于是基于白名单的文件加载，所以生成的.xml 或.dll 之类免杀效果比较好，而.exe 文件免杀效果就比较一般了，所以可以根据具体情境去结合使用。GreatSCT 提供了 6 中白名单方式，综合免杀效果还算可以。

操作便利★★

免杀效果★★★

推荐指数★★★

详细文章链接：https://mp.weixin.qq.com/s/Rkr9lixzL4tiL89r10ndig

HERCULES，2017 年的免杀工具，可以直接生成 msf 可用的 payload 并进行免杀，也可以对自定义 payload 进行免杀，还可以进行后门文件捆绑，并可进行 upx 加壳，使用比较简单，但安装可能遇到不少问题。

HERCULES 也是和 msf 无缝对接的免杀工具，免杀相对也比较简单一些，具体免杀的实现可以查看 HERCULES/src/EGESPLOIT/RSE/BypassAV.go 文件，使用了传统的添加花指令的方式进行免杀。

virustotal.com 上查杀率为 29/70

HERCULES 免杀原理相对简单，对 payload 添加无用代码和多次跳转的方式进行免杀处理，从实际测试来看免杀效果只能说是一般，据官方演示在 2017 年的时候免杀效果应该很棒。可以对其免杀代码进行定制化修改，做成自己轮子工具，别往 virustotal.com 上传，这样被查杀概率也会小一些。

操作便利★★★★

免杀效果★★★★

推荐指数★★★★

详细文章链接：https://mp.weixin.qq.com/s/LfuQ2XuD7YHUWJqMRUmNVA

SpookFlare，2018 年开源的工具，目前还在更新，使用了多种方式进行 bypass。可直接生成基于 Meterpreter、Empire、Koadic 等平台的的 shellcode，并对代码进行混淆、二次编码、随机填充字符串等，从而达到较好的免杀效果。

SpookFlare 支持生成 4 类 payload，分别是 msf 的 exe 程序 (需要自己编译)、msf 的 ps1 脚本 (做了免杀混淆)、hta 文件、office 宏代码。

生成 exe 文件，virustotal.com 上查杀率为 16/67，在 exe 里面能算一般以上了。

SpookFlare 使用了多种方式进行免杀，exe 的免杀可能效果不算太出色，但是对 powershell 脚本和 hta 文件等的免杀做的还是不错的，基本静态查杀都能 bypass。

操作便利★★★★

免杀效果★★

推荐指数★★★

详细文章链接：https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg

Sharpshooter，2018 年开源的工具，知名度较高，基于 python2 开发，是比较专业的 Payload 生成框架，支持反沙箱、分阶段和无阶段的 Payload 执行，并能够生成 hta、js、jse、vba、vbe、vbs、wsf 等多种格式的 payload，创建的 Payload 可用于编译执行任意 C# 源代码。Sharpshooter 还能对 Payload 使用随机密钥进行 R S A 加密，还能检测沙箱，从而避开杀软的检测。

生成 hta 后门文件，virustotal.com 上查杀率为 22/57