好免杀，hyperion造

在上一篇的《那些年我们一起绕过的杀软》中，是不是发现自己做出来的小东西总是被杀软杀呢？那好，今天，小编就来教你如果躲避让人讨厌的杀软…今天我们用来做演示的是一款加密工具hyperion.下文将 介绍他的工作原理以及如何被编译。

Hyperion是一款防止你的payload被杀毒软件爆菊的加密工具。它通过5轮AES（高级加密标准）加密来为你的payload做保护措施,而且加密后的payload是可以在windows系统下运行的。它的工作原理是酱紫的：  它输出一个可执行的加密文件，没错，这个文件就是你攻击时用的payload。  当这个输出文件生成并在目标机子上被执行之后, 这个可执行文件就会尝试暴力破解这个加密文件的AES加密算法的KEY, 破解之后就会自动运行这个被加密的文件 (meterpreter payload  ).

说了这么多，然而我们这么获得并编译它呢？别急别急，好戏才刚刚开始：

Hyperion下载地址： http://nullsecurity.net/tools/binary.html

下载完毕并解压之后,发现有Makefile文件，so easy啦！什么你还是菜鸟不会？好吧…你淫了。如果你有变态5，可以尝试一下下面的傻瓜式编译：

先进入以下目录：

把下载解压后的源码放在 “Src”目录下.  然后执行以下的命令:

如果命令没错的话, 现在hyperion.exe就已经做好了,下一步就是来为我们的payload编码加密了，整个流程都是自动化的，你只需指定输出文件夹路径与输出文件名称，然后一个做好免杀的payload就出来了，整个过程看上去就像下面所示：

执行结果：

Opening metexecutable.exe
Copied file to memory: 0×115868
Found valid MZ signature
Found pointer to PE Header: 0×80
Found valid PE signature
Found a PE32 file
Number of Data Directories: 16
Image Base: 0×400000

Found Section: .text
VSize: 0×924, VAddress: 0×1000, RawSize: 0xa00, RawAddress: 0×400

Found Section: .data
VSize: 0x5f0, VAddress: 0×2000, RawSize: 0×600, RawAddress: 0xe00

Found Section: .rdata
VSize: 0xc0, VAddress: 0×3000, RawSize: 0×200, RawAddress: 0×1400

Found Section: .bss
VSize: 0xe0, VAddress: 0×4000, RawSize: 0×0, RawAddress: 0×0

Found Section: .idata
VSize: 0×268, VAddress: 0×5000, RawSize: 0×400, RawAddress: 0×1600

Input file size + Checksum: 0×4140
Rounded up to a multiple of key size: 0×4150
Generated Checksum: 0xcf0cc
Generated Encryption Key: 0×0 0×2 0×1 0×2 0×3 0×3 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0 0×0

Written encrypted input file as fasm array to:
-> SrcFasmContainer32infile.asm

Written input file’s image base to:
-> SrcFasmContainer32imagebase.asm

Written input file’s image size to:
-> SrcFasmContainer32sizeofimage.asm

Written keysize to:
-> SrcFasmContainer32keysize.inc

Starting FASM with the following parameters:
Commandline: FasmFASM.EXE SrcFasmContainer32main.asm encryptedmet.exe
FASM Working Directory: C:MinGWbinHyperion-1.0

Executing fasm.exe

flat assembler version 1.69.31 (1020166 kilobytes memory)
5 passes, 0.1 seconds, 35328 bytes.

嗯哼，现在大多数靠特征码查杀的杀软就能轻松绕过了.但是启发式杀毒的就不一定啦…小编也没那么蛋疼装十几个杀毒软件一个一个做测试吧…

祝各位好运，如果有什么有趣的情况，欢迎在楼下跟帖评论~~~

本文由网络安全攻防研究室（www.91ri.org） 信息安全小组原创翻译，转载文章请注明本文链接及原文出处！