一、AniYaGUI1.2.0免殺框架

環境：虛擬機Win10 、云服務器

工具：Xshell、CobaltStrike

項目下載地址：

https://github.com/piiperxyz/AniYa

1.? 安裝Go語言環境

確保Win10虛擬機安裝 Golang 且環境變量中包含 go 否則?法編譯（注意安裝go1.23.0.windows-

amd64.msi，低版本cs??法上線）

依次執行下面的命令：【在AniYa-GUI-release（項目的現成版本release）文件夾內打開cmd】

go env -w?GO111MODULE=on

配置鏡像源：go env -w?GOPROXY=https://mirrors.aliyun.com/goproxy

下載：go mod download

這里會出現 Protocol error協議錯誤，再次運行go mod download下載即可。

2.? 在云服務器中開啟CobaltStrike服務端

【需要提前準備好CobaltStrike】

cd??Cobalt_Strike_4.7

如果初次運行，需要給teamserver和TeamServerImage添加可執行權限

chmod 755?teamserver? ? ? ? ? ?chmod 755??TeamServerImage

再開啟服務端：./teamserver 云服務器ip 用于CS客戶端連接的密碼，回車開啟服務。

3. 【物理機】在CS客戶端設置監聽器，生成原生木馬bin

創建監聽器，并開啟監聽。綁定的ip是開啟服務端的ip。這里是云服務器的ip，端口視情況選擇。

有效載荷——Payload生成器

選擇“Raw”，選擇監聽器為上面創建的，點擊生成，保存payload1.bin文件。

再生成一個原生木馬的可執行文件? beacon.exe

4. 【虛擬機】AniYa-GUI免殺過程：對于bin文件

5. 上線原生木馬beacon.exe和上線免殺木馬result.exe

6.? 在網站進行查殺比較免殺的效果

網站：https://www.virustotal.com/

結果：數值上，原生exe72款殺毒被53款查殺，而AniYa-GUI? ?72款殺毒僅被24款查殺，其免殺效果較好。

二、AV_Evasion_Tool掩?20231208

1. 環境需求及安裝

1. 64位 Windows 7 或以上操作系統? ? ? ? ?這里還是使用Win10虛擬機

2. .NET Framework 4.5 或更?版本

3. 安裝 tdm-gcc(推薦) 或者 tcc

tdm-gcc，雙擊運?，選擇 CREATE，然后?直“下?步”即可。

https://github.com/jmeubank/tdm-gcc/releases/download/v9.2.0-tdm64-1/tdm64-gcc-9.2.0.exe

tcc，這個不需要安裝，解壓到任意?錄即可（?錄不要包含中?字符）。http://download.savannah.gnu.org/releases/tinycc/tcc-0.9.27-win64-bin.zip

?這?選擇tdm-gcc雙擊運?，選擇 CREATE，然后?直“下?步”即可。【在虛擬機安裝】

2.? AV_Evasion_Tool掩?20231208啟動的配置

將安裝的go.exe、gcc.exe兩個程序的完整路徑輸入啟動配置相應位置。

3. 使用CS生成C木馬文件

? ??

將木馬C文件拖至虛擬機Win10

4.免殺cs?

5. 上線exe木馬文件

6.? 網站檢測免殺效果

三、FoxBypass_V1.0

1.環境要求：

保證安裝了GCC

2. 下載FoxBypass，運行，查看幫助手冊

3.?成分離加載器

注意上?選擇exe是?來該圖標和版本信息的。這?什么都不選，直接點擊免殺?式即可。

4.?將第一個免殺中生成的bin木馬：payload1.bin進?混淆

在foxbupass目錄中生成的output目錄下，切入cmd：使用分離加載器

# ?成的程序.exe -i <bin?件> <?成的txt?件?定義命名>

輸入命令：S9IclEGL.exe -i payload1.bin【指定的bin文件】 1.txt【生成的配置文件】

5. 上線木馬

使??成的加載器加載混淆后的?件上線