如何使用Shellter绕过反病毒软件 一

我先假设一下以下虚构的情景:

我是强尼，一个心怀不满的员工。老板利用了我,他不停的给我工作任务,但却不支付我额外的报酬,此外,他从来没有对我的付出表示感谢……有一天,我终于厌倦了这种情况,我心里默默说到:“他会明白他做错了什么事”。我计划侵入他的电脑，窃取他所有的敏感信息。但是如何开始呢?经过深思熟虑后:我决定我要先看看我可以访问的内部漏洞审计的结果，找一下他的电脑是否有一些安全漏洞可以利用。

该死的!他把所有的漏洞都补好了，而且我也没钱买0day。那我现在能做什么?

直到有一天，我的老板问我是否知道有免费的程序可以在Windows操作系统中解压文件…

当然，我的回答是肯定的，我会通过邮件发给他。就在那时，我开始准备“小礼物”。

当我知道我们电脑中有一个很好的杀毒软件，而且它总是更新,所以我将使用Shellter工具(https://www.shellterproject.com/)将我的shellcode加载到合法的解压缩程序中并且伪装好,这样,当我运行它时,他的电脑就会被我的机器所控制。

Shellter根据官网的定义，是一个动态的shellcode注入工具。动态意味着Shellter能感染我想要感染的文件，并且它还为我提供了不同的选感染文件的方式。

另外，要注入的shellcode可以由我自己生成，也可以通过框架生成。在这个例子中，我将使用me tasploit。

我将打开me tasploit，生成我的有效负载并让它听:

现在我下载了7-Zip软件(http://www.7-zip.org/)这是一个满足我老板要求的应用程序，然后执行Shellter输入我的shellcode(在前面的图片中突出显示)。

我选择了自动模式，并向程序指明7-Zip程序的路径:

我激活隐身模式，从payload列表中选择7，然后复制me tasploit生成的代码:

一旦感染验证完成后，按Enter键结束流程:

在发送任何这个程序之前，我要确认公司的防病毒软件没有将其检测为威胁。另外，作为个人兴趣，我将它上传到Virustotal (https://www.virustotal.com/es/)，以检查有多少反病毒程序将它检测为恶意软件:

在此之后，一切准备就绪后，我将回复我的老板，让他使用我邮件附加的解压文件的程序。

如果你不想错过接下来会发生什么，那就关注博客吧。

原文链接：https://www.securityartwork.es/2018/11/02/evading-av-with-shellter-i-also-have-sysmon-and-wazuh-i/