今天做免杀的时候，把exe上传到virustotal上分析，突然发现一个不属于我的IP地址上线了！

我先是很震惊，然后去看进程，看文件

进程里有一些奇奇怪怪的exe进程

shell net user
[*] Tasked beacon to run: net user
[+] host called home, sent: 39 bytes
[+] received output:

User accounts for \\DESKTOP-B0T93D6

-------------------------------------------------------------------------------
Administrator            DefaultAccount           george                   
Guest                    WDAGUtilityAccount       
The command completed successfully.


beacon> net user george
[*] Tasked beacon to run net user george on localhost
[+] host called home, sent: 87608 bytes
[+] received output:
Account information for george on \\localhost:

User name                    george
Full Name                    
Comment                      
User's Comment               
Country code                 0
Account active               Yes
Account expires              Never
Account type                 Admin

Password last set            0 hours ago
Password expires             Never
Password changeable          Yes
Password required            No
User may change password     Yes

Workstations allowed         
Logon script                 
User profile                 
Home directory               
Last logon                   06/04/2021 07:09:53

我慌的一p，一查IP，竟然是个美国的IP。

完了

我什么时候被控的，我都不知道

是burp吗，我最近只安装了那个破解版的

完了，凉凉

感觉，杀软装上，防火墙开起来。最近因为手机小程序测试，没有开防火墙，也没有装杀软。

原来是沙箱上线了。

c sharp + meterpreter生成的载荷 （11/26）

https://antiscan.me/scan/new/result?id=Kfe2jKCIf3oU

可以看出comodo杀毒功能挺差的
虚拟机实测可以过360杀毒

不能过windows 10 defender
实测也不能过联想电脑管家

使用veil + cs 生成exe

具体看参考资料里面的文章和操作，近期越来越懒了，很多东西不想写那么详细。很菜、很多东西要学。

评价：veil + cs 免杀，一大半的都过不了。扫描结果：https://www.virustotal.com/gui/file/d60196b39127fca04efbc7cd545c98582321dfe82834c8aca7cd3ca2d6bc0c64/detection

还是要从原理入手

原理

杀软根据 特征码、行为特征来查杀
最好的免杀方法是编写自己的exp或payload。

工具免杀

veil
掩日
深信服的北极星（商用）

参考资料

• Use Cobalt Strike’s Beacon with Veil’s Evasion
• 一个不会上传给杀毒软件厂商的扫描网站
• Antivirus software -how it works and how to evade it