Metasploit Evasion模块详解：创建反杀软木马(VT查杀率分析)

该资源是关于Metasploit框架中Evasion模块的免杀技术探讨，主要介绍了如何利用Evasion模块创建能绕过反病毒软件的恶意软件，包括生成exe、hta以及install_util等不同类型的payload，并提供了在VirusTotal(VT)上的查杀率。 在2019年1月，Metasploit框架升级到5.0版本，引入了一个名为Evasion的新模块，官方声称该模块特别设计用于创建能够规避反病毒软件检测的恶意代码。Evasion模块的引入，为渗透测试和安全研究提供了新的工具和策略，使得测试人员可以更好地模拟真实世界中的高级威胁行为。 Evasion模块包含多个子模块，用户可以通过`show evasion`命令来查看所有可用的选项。在提供的部分内容中，提到了生成exe文件的模块，即`use windows/windows_defender_exe`，该模块可以创建一个Windows Defender无法检测的可执行文件。生成的exe文件在VirusTotal上进行了扫描，结果显示42/71的杀毒引擎未能检测到恶意行为，显示出相对较高的免杀效果。 此外，还提到了生成hta文件的模块，其在VirusTotal上的查杀率为14/59，以及生成install_util的模块，查杀率为12/71。这些数据显示，Evasion模块生成的payload在一定程度上具有较强的逃避杀毒软件检测的能力。 在测试过程中，作者主要针对360安全软件和火绒进行了本地测试，同时也在VirusTotal上进行了在线查杀。尽管VT的查杀结果可能只反映了静态分析的情况，但这些数据仍能为研究人员提供有价值的参考，了解不同payload在实际环境中的免杀性能。 Evasion模块为安全专家和渗透测试者提供了新的手段，通过这些技术，他们可以在进行合法的安全测试时，模拟攻击者如何绕过反病毒防御。然而，这些技术的使用必须遵循合法的测试准则，不得用于非法活动，否则可能会导致法律问题和道德责任。 文章还提供了相关的免杀能力一览表，列出了各杀毒软件对不同payload的检测情况，以及在VT上的查杀率，这对于理解Evasion模块的效能和比较不同免杀技术的效果非常有帮助。同时，作者提供了文章打包下载和相关软件下载链接，便于读者深入学习和实践。 需要注意的是，免杀技术虽然可以提高payload的生存能力，但不应被滥用。在合法的渗透测试中，安全专业人员应始终遵守道德规范，确保测试过程不会对目标系统造成损害。