最近尝试了免杀工具thefatrat,记录一些使用过程和坑:
常见的免杀方式一般是:文件免杀方法和内存免杀方法
文件免杀指:加壳、加花等。内存免杀指:修改内存特征码、修改字符串等。
推荐一篇博文:http://anhkgg.com/aanti-virus/
下面就记录thefatrat的使用和杀软查杀结果:采用在线查杀https://www.virustotal.com和http://www.virscan.org/language/zh-cn/
thefatrat的项目地址为:https://github.com/screetsec/thefatrat安装步骤为:
git clone https://github.com/Screetsec/TheFatRat.git
cd TheFatRat
chmod +x setup.sh && ./setup.sh安装后,建议查看logs文件夹下的fudwin文件,记录了安装使用中的存在的问题,比如使用中会出现There was an error creating your FUD rat with Powerstager 这种错误,查看fudwin文件,可以看到py2没有安装names模块,安装后正常使用。
再给以下文件权限
chmod + x fatrat
chmod + x powerfull.sh
./fatrat 启动界面
第一项:利用msf生产后门,基本没免杀效果
第二项 :利用powerstager混淆,从结果来看效果不错
第三项和第四项使用中报错和不能选择的问题,尚不得知问题原因,后续更新
第五项:生成apk后门
第六项:这个就是可以创建bat后门,但是里面还有c#编译和c编译等,但是被查杀率极高
第七项:生成office类后门
第八项:生成Linux后门
此次针对windows系统,下面用第二项的fudwin,进入后
使用第一项,第二项不确定是不是编码原因,全是乱码,选择后可以看到提示的本地IP和公网IP
执行完成后,在output文件夹下生成制定的exe文件,中间会选择图标
利用https://www.virustotal.com查看下效果如何,从结果上看不是很优秀,不过比较意外的是,360居然没查杀,国内几家免费杀软都没识别
尝试使用http://www.virscan.org/检查文件
结果更少,只有四个查杀(不确定是不是引擎版本问题)
从两个结果看 两边能查杀的国内杀软就江民杀毒,F-Secure在VirusTotal可以查杀,在VirSCAN没有查杀
运行文件查看是否能正常执行获得shell。
运行后用msf做监听,可以看到收到了shell
thefatrat比较出众的一点就是可以生成bat后门文件,选择Create Fud Backdoor 1000% with PwnWinds
在程序output文件夹下的bat上传到 https://www.virustotal.com
被360查杀,但是能过江民,F-Secure,和国内其他家杀软
同样用msf监听执行情况,可以收到shell
以上文件在电脑管家和火绒环境下,静态查毒或者运行都不查杀。
在采用Create Fud 100% Backdoor with Fudwin 1.0中的Powerstager 0.2.5 by z0noxz (powershell)生成exe文件,再用upx加壳
Upx -7 aaa.exe
这个结果还算是能看,能查杀基本完全脱离国内杀软了
不过值得一提的就是上午电脑管家还不能查杀,下午就全国联保了,应该是上传可疑文件云端检测了,不过既然没有查杀也没有报可疑,为什么会上传检测,倒是一个问题。