一、繞過殺毒軟件

Why?

1、使用繞過反病毒軟件的方式要比禁用殺毒軟件更加安全;

2、展示客戶端的反病毒軟件是多么脆弱的非常有趣。

How?

如果你使用二進制，而這個二進制文件被You can bypass AV修改導致它的簽名被移除了，然后加密、打包，修改源代碼或者重新編輯源代碼并使用我個人最喜歡的自定義程序。

When?

只要shell寫入磁盤，你就可以開始進行啦!

[[160408]]

二、為什么選擇Python?

Python是一種很容易學習的語言，并且Python擁有很多強大的擴展庫，并且Python既支持Linux又支持Mac和Windows。Python可以完美的在Mac和Linux操作系統(tǒng)上運行。而Windows上，Python腳本可能需要編譯成可執(zhí)行文件后再運行。

下面是一些學習Python的免費資源：

http://docs.python.org/tutorial/

http://www.makeuseof.com/tag/5-websites-learn-python-programming/

http://www.readwriteweb.com/hack/2011/03/python-is-an-increasingly-popu.ph

三、Python基礎知識

Python是一種使用空格的語言，使用縮進來確定代碼快。你可以使用tab或者空格，但是你不能把他們兩個混合。tab和空格的換算標準是1個tab相當于4個空格。

在Python中，單引號''和雙引號""是一樣的。你可以使用轉(zhuǎn)義符，比如\n，\t。三引號"''"表示多行字符串。使用原始字符串r''為正則表達式。

使用原始字符串就不需要使用反斜杠了，這樣可以使正則表達式看起來更加整潔。

類可以行里被聲明或者被放置在另一個文件或者被import。

if a == b:
    print “They’re equal.\n”else:
    print “They’re not equal.\n”for i in range(1, 100, 5):
    print ‘Number {0}\n’.format(i)def new_function():
    print ‘Inside the function.\n’

class Adder():
    def __init__(self, value=0):
        self.value = value
    def add(self, val):
        self.value += val
a = Adder()
a.add(5)print a.value
b = Adder(10)
b.add(10)print b.value

四、什么是Shell?

Shell可以通過網(wǎng)絡接收命令行、執(zhí)行命令行并通過網(wǎng)絡返回結果。

Shell可以監(jiān)聽某個綁定shell的端口，或者回調(diào)到一個服務端(reverse shell)。反向shell是首選，因為大多數(shù)防火墻不會阻止出站的信息流但是會阻止入站的信息流。

五、看代碼之前的準備

你需要安裝Python。Linux和Mac是自帶Python的。所以Windows用戶需要去http://www.python.org/download/ 下載Python2.7.3的Windows安裝程序。

你還需要Git，大多數(shù)Linux發(fā)行版和Mac上已經(jīng)有Git了。Windows用戶則需要安裝Git for Windows，你可以去http://msysgit.github.com下載安裝。

六、看代碼

shell.py

打開終端或者git bash，輸入以下內(nèi)容:git clone https://github.com/averagesecurityguy/scripts

然后，cd 進入腳本目錄，使用你最喜歡的編輯器打開shell.py

ishell.py

確定你在腳本目錄里，使用你最喜歡的編輯器打開ishell.py

mickey.py

打開終端或者Git bash，輸入git clone https://github.com/averagesecurityguy/mickey

cd進入mickey目錄，然后使用你最喜歡的編輯器打開mickey.py

七、使用PyInstaller編譯

下載并解壓PyInstaller(鏈接)。

下載并安裝Pywin32(鏈接)。

創(chuàng)建可執(zhí)行的：

pyinstaller.py -F /path/to/script.py

可執(zhí)行文件可以被創(chuàng)建在PyInstaller文件夾的$scriptname/dist文件夾中。

八、讓我們試試看

如果你已經(jīng)安裝了Metasploit，讓我們繼續(xù)這個繞過AV的活動。

首先，我們要試圖在計算機上運行Meterpreter，我們應該可以看到它會被AV(微軟的安全必備軟件)。

接下來，讓我們使用我們自定義的Python shell，運行代碼，沒有問題。

九、學習Python的資源：

http://docs.python.org/tutorial/

http://www.makeuseof.com/tag/5-websites-learn-python-programming/

http://www.readwriteweb.com/hack/2011/03/python-is-an-increasingly-popu.php

其他的Python Shell：

https://www.trustedsec.com/files/simple_py_shell.py

https://www.trustedsec.com/files/encrypted_http_shell.zip