一、Veil-Evasion工具介绍
- 逃过杀毒软件检测的方式有很多,其中很优秀的方法需要一定的编译和汇编的知识。此处只是介绍一种简单而且可以躲过杀毒软件查杀的工具Veil-Evasion
- 绕过杀毒软件检测的原理:许多的杀毒软件都采用了模式匹配或者特征匹配的工作模式,如果一个程序中不存在病毒库的特征码,那么该杀毒软件就不会认为这是一个病毒文件。因此我们需要修改或者掩盖恶意软件的特征码,这样杀毒软件就不会阻止这个软件的运行
- Kali Linux默认没有安装Veil-Evasion,所以需要手动安装该软件
- Veil-Evasion需要使用Python、pywin32、pycrypto、Ruby的支持,所以安装完Veil-Evasion之后,会自动跳出安装这4个软件的界面
①安装Veil-Evasion
apt-get install veil-evasion
三、 Veil-Evasion的使用方法②安装其他软件
- 第一次启动这个程序的时候,因为Veil-Evasion需要“Python、pywin32、pycrypto、Ruby”4个的支持,所以会在命令窗口出现一个安装界面,选择y将会自动进行安装
安装Python:使用默认值安装,一直Next到Finish即可
安装pywin32:使用默认值安装,一直Next到Finish即可
安装pycrypto(这是一个专门用来加密的模块):使用默认值安装,一直Next到Finish即可
- 安装Ruby:使用默认值安装,一直Next到Finish即可
- 安装AutoIt:使用默认值安装,一直Next到Finish即可
- 打开Veil-Evasion后显示的是一个菜单驱动程序(输入veil命令)。Veil-Evasion一共提供了6个命令
- 先使用list列出可以使用的工具,然后选择Evasion工具
- 然后使用list列出可以使用的攻击载荷(一共有41个)
- 第一步:先使用Evasion工具,然后选择一个使用C语言编写的反向攻击载荷“c/meterpreter/rev_tcp.py”,输入对应的payload序号即可
- 第二步:该payload需要LOHST、LPORT参数,接下来为其设置参数
- 第三步:使用generate命令来生成payload,回车之后需要你输入该payload软件的名称,如果不给出,则默认为“payload”。然后生成的.exe文件存放在“/var/lib/veil/output/compiled/”目录下
登录“http://www.virscan.org/”网页来检查该payload软件是否可以被杀毒等软件检测到,该网站是一款集成大量杀毒引擎的在线检查,该网页会借助各大杀毒软件来检测你给出的软件是否有危险行为
提示:
- 建议不要使用该网页,因为该网页是借助各大杀毒软件来检测你的payload,所以如果检测出危险,那么该网页就会把检测的信息传递给各大杀毒软件,那么该软件就不可以被使用了
- 所以检测软件的时候,建议使用一个单独的杀毒软件来检查
演示案例:
- 第一步:登录该网页,选择我们刚才生成的payload来进行检测
- 第二步:检测完之后,可以看到检测结果,显示没有危险
