有哪些远控免杀工具
远控免杀工具有以下:
TeamViewer免杀:一款可以穿透内网、完全免费、超级安全的远程控制软件。支持远程开机、关机,远程同步查看对方电脑屏幕,遥控键盘鼠标,远程开启摄像头(可将视频内容录像),远程上传、下载、修改文件,语音文字聊天等等。
Veil免杀:是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploi 框架生成相兼容的 ayload工具,从而逃避了常见防病毒产品的检测。Veil的手工安装比较费劲,好在有 docker 镜像,可以直接 pull 回本地安装使用。
Venom免杀:利用msfvenom(metasploit)生成不同的格式的shellcode,如(c | python | ruby | dll | msi | hta-psh)等,然后将生成的shellcode注入一个模板(例如:python),并使用类似 gcc、mingw32 或 pyinstaller 之类的编译器生成可执行文件。Venom 的一些功能还会直接调用 Veil-Evasion.py,unicorn.py,powersploit.py 等来直接创建免杀程序,避免重复造轮子。
Shellter免杀:是一个开源的免杀工具,利用动态Shellcode注入或者命令来实现免杀的效果。Shellter安装非常简单,使用也非常便捷,而且生成的payload免杀效果也都比较好,windows和linux下都可以使用,实在是居家旅行必备良药。我是用的自动模式进行生产payload, 你可以根据自己的需要进行手动配置,这样生成的payload免杀效果会更好。
BackDoor-Factory免杀:又称后门工厂 (BDF),BDF 是也是一款老牌的免杀神器,其作者曾经在 2015 年的 blackhat 大会上介绍过该工具。该工具还有很强大的一些其他功能,比如加私钥证书、CPT 等等。
Avet免杀:全称 AntiVirus Evasion Tool,2017 年在 blackhat 大会上公开演示,可对 shellcode,exe 和 dll 等多种载荷进行免杀处理,使用了多种不同的免杀技术,具有较好的免杀效果,据说在 blackhat 大会上演示时免杀效果震撼全场。
TheFatRat免杀:TheFatRat 创建的后门或者 payload,可以在 Linux,Windows,Mac 和 Android 上等多种平台上执行,可生成 exe、apk、sh、bat、py 等多种格式。TheFatRat 可以和 msf 无缝对接,并且集成内置了 Fudwin、Avoid、backdoor-factory 等多个免杀工具,对 powershell 的免杀姿势尤其多样。TheFatRat 创建的后门格式和支持的平台比较多样化,而且还支持生成 CDROM/U 盘中能自动运行 (生成 AutoRun 文件) 的后门文件,并且可以对 payload 更改图标,具有一定伪装效果。
Avoidz免杀:avoidz是一个比较使用比较简单的小工具,利用 msf 生成 powershell 的 shellocde,然后利用 c#、python、go、ruby 等语言对 shellcode 进行编译生成 exe 而达到免杀的效果。
AVIator免杀:使用 AES 加密来加密给定的 Shellcode 加密,生成一个包含加密有效负载的可执行文件,然后使用各种注入技术将 shellcode 解密并注入到目标系统,从而绕过杀毒软件的检测。
DKMC免杀:Don’t Kill My Cat (DKMC) 的简称,谷歌翻译为”不要杀害我的小猫咪”,这个名字也是挺少女心的…DKMC 是一种生成混淆的 shellcode 的工具,并把 shellcode 合成到图像文件中,最终依靠 PowerShell 执行最终的 shellcode 有效负载。
Unicorn 免杀:Magic Unicorn 是一个比较简单的小工具,主要是基于 Matthew Graeber 提出的 PowerShell 攻击技术以及 David Kennedy 和 Josh Kelly 提出的 powershell bypass 技术,把所有 payload 都转换成 powershell 代码。Magic Unicorn 支持 cobalt strike、Metasploit 和自定义的 shellcode。
Python-Rootkit免杀:2017 年开源的一款工具,当时号称 Bypass all anti-virus,主要是对 python 代码进行多次编码,然后利用 py2exe 把 python 代码打包成 exe,其实最终执行的是 powershell 命令,使用了 PowerSploit 的 Invoke-Shellcode.ps1 来反弹 msf 的 shell。程序还添加了后门持续化的功能,大体就是 10 秒钟检测一次连接是否正常,如果连接不存在就再重连 msf,另外还使用了注册表添加了自启动项。