常见免杀框架的使用（3款）---【AniYaGUI1.2.0、AV_Evasion_Tool掩日、FoxBypass_V1.0】

一、AniYaGUI1.2.0免杀框架

环境：虚拟机Win10 、云服务器

工具：Xshell、CobaltStrike

项目下载地址：

https://github.com/piiperxyz/AniYa

1.  安装Go语言环境

确保Win10虚拟机安装 Golang 且环境变量中包含 go 否则⽆法编译（注意安装go1.23.0.windows-

amd64.msi，低版本cs⻢⽆法上线）

依次执行下面的命令：【在AniYa-GUI-release（项目的现成版本release）文件夹内打开cmd】

go env -w GO111MODULE=on

配置镜像源：go env -w GOPROXY=https://mirrors.aliyun.com/goproxy

下载：go mod download

这里会出现 Protocol error协议错误，再次运行go mod download下载即可。

2.  在云服务器中开启CobaltStrike服务端

【需要提前准备好CobaltStrike】

cd  Cobalt_Strike_4.7

如果初次运行，需要给teamserver和TeamServerImage添加可执行权限

chmod 755 teamserver           chmod 755  TeamServerImage

再开启服务端：./teamserver 云服务器ip 用于CS客户端连接的密码，回车开启服务。

3. 【物理机】在CS客户端设置监听器，生成原生木马bin

创建监听器，并开启监听。绑定的ip是开启服务端的ip。这里是云服务器的ip，端口视情况选择。

有效载荷——Payload生成器

选择“Raw”，选择监听器为上面创建的，点击生成，保存payload1.bin文件。

再生成一个原生木马的可执行文件  beacon.exe

4. 【虚拟机】AniYa-GUI免杀过程：对于bin文件

5. 上线原生木马beacon.exe和上线免杀木马result.exe

6.  在网站进行查杀比较免杀的效果

网站：https://www.virustotal.com/

结果：数值上，原生exe72款杀毒被53款查杀，而AniYa-GUI   72款杀毒仅被24款查杀，其免杀效果较好。

二、AV_Evasion_Tool掩⽇20231208

1. 环境需求及安装

1. 64位 Windows 7 或以上操作系统         这里还是使用Win10虚拟机

2. .NET Framework 4.5 或更⾼版本

3. 安装 tdm-gcc(推荐) 或者 tcc

tdm-gcc，双击运⾏，选择 CREATE，然后⼀直“下⼀步”即可。

https://github.com/jmeubank/tdm-gcc/releases/download/v9.2.0-tdm64-1/tdm64-gcc-9.2.0.exe

tcc，这个不需要安装，解压到任意⽬录即可（⽬录不要包含中⽂字符）。http://download.savannah.gnu.org/releases/tinycc/tcc-0.9.27-win64-bin.zip

 这⾥选择tdm-gcc双击运⾏，选择 CREATE，然后⼀直“下⼀步”即可。【在虚拟机安装】

2.  AV_Evasion_Tool掩⽇20231208启动的配置

将安装的go.exe、gcc.exe两个程序的完整路径输入启动配置相应位置。

3. 使用CS生成C木马文件

    

将木马C文件拖至虚拟机Win10

4.免杀cs⻢

5. 上线exe木马文件

6.  网站检测免杀效果

三、FoxBypass_V1.0

1.环境要求：

保证安装了GCC

2. 下载FoxBypass，运行，查看帮助手册

3.⽣成分离加载器

注意上⽅选择exe是⽤来该图标和版本信息的。这⾥什么都不选，直接点击免杀⽅式即可。

4. 将第一个免杀中生成的bin木马：payload1.bin进⾏混淆

在foxbupass目录中生成的output目录下，切入cmd：使用分离加载器

# ⽣成的程序.exe -i <bin⽂件> <⽣成的txt⽂件⾃定义命名>

输入命令：S9IclEGL.exe -i payload1.bin【指定的bin文件】 1.txt【生成的配置文件】

5. 上线木马

使⽤⽣成的加载器加载混淆后的⽂件上线