最近尝试了免杀工具thefatrat,记录一些使用过程和坑:

常见的免杀方式一般是:文件免杀方法和内存免杀方法

文件免杀指:加壳、加花等。内存免杀指:修改内存特征码、修改字符串等。

推荐一篇博文:http://anhkgg.com/aanti-virus/

下面就记录thefatrat的使用和杀软查杀结果:采用在线查杀https://www.virustotal.com和http://www.virscan.org/language/zh-cn/

thefatrat的项目地址为:https://github.com/screetsec/thefatrat

安装步骤为:

git clone https://github.com/Screetsec/TheFatRat.git

cd TheFatRat

chmod +x setup.sh && ./setup.sh

安装后,建议查看logs文件夹下的fudwin文件,记录了安装使用中的存在的问题,比如使用中会出现There was an error creating your FUD rat with Powerstager 这种错误,查看fudwin文件,可以看到py2没有安装names模块,安装后正常使用。

再给以下文件权限

chmod + x fatrat

chmod + x powerfull.sh

./fatrat 

启动界面

1537411201695

第一项:利用msf生产后门,基本没免杀效果

第二项 :利用powerstager混淆,从结果来看效果不错

第三项和第四项使用中报错和不能选择的问题,尚不得知问题原因,后续更新

第五项:生成apk后门

第六项:这个就是可以创建bat后门,但是里面还有c#编译和c编译等,但是被查杀率极高

第七项:生成office类后门

第八项:生成Linux后门

此次针对windows系统,下面用第二项的fudwin,进入后

1537411232831

使用第一项,第二项不确定是不是编码原因,全是乱码,选择后可以看到提示的本地IP和公网IP

1537411310395

执行完成后,在output文件夹下生成制定的exe文件,中间会选择图标

利用https://www.virustotal.com查看下效果如何,从结果上看不是很优秀,不过比较意外的是,360居然没查杀,国内几家免费杀软都没识别

1537411978344

1537411983555

尝试使用http://www.virscan.org/检查文件

结果更少,只有四个查杀(不确定是不是引擎版本问题)

1537411403146

1537411408931

从两个结果看 两边能查杀的国内杀软就江民杀毒,F-Secure在VirusTotal可以查杀,在VirSCAN没有查杀

运行文件查看是否能正常执行获得shell。

运行后用msf做监听,可以看到收到了shell

1537411440206

thefatrat比较出众的一点就是可以生成bat后门文件,选择Create Fud Backdoor 1000% with PwnWinds

1537411492559

在程序output文件夹下的bat上传到 https://www.virustotal.com

1537411546630

1537411559765

被360查杀,但是能过江民,F-Secure,和国内其他家杀软

同样用msf监听执行情况,可以收到shell

以上文件在电脑管家和火绒环境下,静态查毒或者运行都不查杀。

在采用Create Fud 100% Backdoor with Fudwin 1.0中的Powerstager 0.2.5 by z0noxz (powershell)生成exe文件,再用upx加壳

Upx -7 aaa.exe

这个结果还算是能看,能查杀基本完全脱离国内杀软了

1537411605459

不过值得一提的就是上午电脑管家还不能查杀,下午就全国联保了,应该是上传可疑文件云端检测了,不过既然没有查杀也没有报可疑,为什么会上传检测,倒是一个问题。





# web安全  

tocToc: