利用.MF后缀文件猥琐绕过火绒杀毒测试

`

由于火绒杀毒软件非常“良心”，在国内就是一股清流，逐渐拥有了一大批用户。

最近在做测试，后门文件一直无法绕过火绒的主动防御，最后在Github找到个猥琐绕过火绒主防御的手法的手法，该手法亲测可以成功绕过火绒，所以分享给大家。

环境攻击机:

CentOS7

192.168.129.128

目标机:

装有火绒的windows10 1709(x64)

192.168.0.32

下载:https://github.com/hvqzao/foolav/releases/download/v1.0/foolav.zip

解压后会有三个文件:foolav.exe执行文件和foolav.mf文件，第三个我们不管它

首先唯一要做的是上传两个文件，一个是可执行的文件（foolav.exe）,另一个则是.MF后缀文件,foolav.mf文件用来存放我们的Payload,

foolav.exe是作者写好的，当该文件被执行后，有效载荷文件(foolav.mf)将被它解析，加载到单独的线程，在内存中执行。

源码大家可以到作者的Github上下载

https://github.com/hvqzao/foolav

foolav.mf文件默认是存放着payload的，执行后会弹出一个计算器，我们只要生成自己的payload然后替换原有的内容就好，

MF文件可以区分每一个字符以外的\xHH二进制序列。也就是说你可以在foolav.mf文件里添加你想添加的字符，比如：

x86的payload是运行在x86和x86_64 Windows系统。 我们现在只需要生成x84的payload。Meterpreter可以使用migrate命令嫁接到x64进程中。

我这里生成之后覆盖掉了原来的.mf文件

当然还是这些熟悉的命令,如果命令没有出错，现在我们的payload已经生成并保存到了foolav.mf文件当中,然后用我们生成的foolav.mf文件覆盖下载的foolav.mf文件并发送到目标机器。

然后进行监听，等待反向Shell

我的防火墙是打开的，所以默认屏蔽了对外端口，这里需要让iptables允许4444端口通过

上传到目标机之后，我们直接用火绒对文件进行病毒扫描,如图

exe文件运行之后，我们成功获得windows10一个反向的shell

通过此方法执行的payload得到shell后，我们甚至可以执行一些杀毒软件非常敏感的操作，就像是有白名单一样，火绒的主防御形同虚设。。。。比如我们生成一个持久性的服务后门然后再用火绒进行扫描

虽然该方法可以成功的绕过最新版的火绒杀毒和其主防御，但我在装有360和电脑管家的环境进行测试均被查杀…….