如果有人使用VENOM工具绕过反病毒检测，该如何防护？

前言

如今，很多恶意软件和Payload都会使用各种加密技术和封装技术来绕过反病毒软件的检测，原因就是AV产品很难去检测到经过加密或加壳的恶意软件(Payload)。

今天，我们要学习是如何使用VENOM来生成经过加密的Payload，权当为加固安全保护措施抛砖引玉，未来或许会再出一篇文章来讲一讲如何堵住这个方法。

概述

根据VENOM的介绍，该脚本会使用MSF venom(Metasploit)来以不同的格式生成Shellcode，比如说c | python | ruby | dll | msi |hta-psh等格式，并将生成的Shellcode注入到一个函数之中（比如说Python函数）。

这个Python函数将会在RAM中执行Shellcode，并使用类似gcc、mingw32或Pyinstaller这样的编译工具来构建可执行文件，然后开启一个多处理器来处理远程连接(反向Shell货Meterpreter会话)。

第一步：

由于该工具并不是Kali自带的工具，所以我们需要在Kali Linux上进行下载和安装。大家可以点击【下载链接】直接从Sourceforge网站下载VENOM。

下载并解压之后，大家就可以运行VENOM了。

第二步：

启动工具之后，工具会要求继续处理后续选项。

第三步：

接下来，工具会给你显示代码构建、目标设备、Payload格式和数据输出等选项。

工具提供了20种不同类型的Shellcode构建选项，都列举在下图之中了。我们在本文中，选择使用选项10来进行演示。

输入10，并按下回车键。

第四步：

在这一步骤，我们需要设置本地主机IP地址，输入本地设备IP地址来监听Payload之后，按下OK键。

设置好了我们的LHOST之后，工具会要求你设置LPORT，提供你想要设置的LPROT号，按下OK键。

第五步：

VENOM自带了很多默认的msf Payload，我们这里选择使用“windows/meterpreter/reverse_tcp”。

第六步：

输入需要生成的Payload名称，然后点击OK。

第七步：

生成好加密的Payload之后，工具将会把Payload存储在VENOM的文件输出目录中：

root/Desktop/shell/output/gbhackers.hta

第八步：

在成功生成加密后的Payload之后，我们可以用反病毒产品来检测一下：

接下来，我们看看如何使用Metasploit和我们生成的Payload来绕过反病毒产品。

第九步：

我们需要开启Apache服务器来将恶意Payload发送到目标主机中，选择好服务器后点击OK继续。

第十步：

在这一步中，我们需要连接后渗透模块，这里我们可以随意选择一个。由于我需要访问的只有系统信息，所以我选择sysinfo.rc来进行后渗透操作。

这是一个可选操作，所以你甚至可以手动执行这个模块，然后用Metasploit实现绕过。

第十一步：

最后，我需要用生成的加密Payload在目标主机和我的Windows 7主机之间建立Meterpreter会话。

在启动在会话处理器之前，确保你的Payload已经成功注入到目标主机之中了。我这里使用的URL为http://192.168.56.103。

注意：在开始之前，请检查LPORT和LHOST设置是否正确。

最后，我们成功绕过了目标主机的反病毒产品，并获得了目标设备的完整访问权。