面纱框架应该产生绕过virustotal的打包和混淆的二进制文件吗？

Question

我一直在使用面纱框架来测试我已经安装的内部IDS系统。我使用了一个公开的恶意软件示例，它在Virustotal上产生了一个8/53的命中分数，并通过Hyperion和Pescrambler有效载荷来运行它。

然而，输出样本要么保持初始命中得分，要么增加(在Hyperion的情况下)。这是面纱框架中的预期行为吗？这是由于动态分析的存在吗？

是否有任何建议，以产生包装和混淆的可执行文件，具有较高的旁路效能，用于内部安全测试？

Answer 1

注释paj28是正确的:不要将这些提交给VirusTotal。测试他们的HIPS和AV系统，你是专门针对一个VM-客人环境。我更喜欢用Vagrant和封隔器和切箱工具来“模拟”实验室里的东西。

Hyperion是很棒的，但是不要把它和Pes年混为一谈。你只需要一个密码，而不是两个。您理想需要的是一个密码器和一个封隔器，例如Hyperion和UPX。尝试各种UPX格式和选项：一个将在加密后工作。这将是最有效率的，也是最不受关注的。两个密码或两个封隔器太多了，而且“超过了门槛”。

另一个因素是Meterpreter (或任何基线植入您正在工作)。这不是最好的植入物(有些给出太多)，尤其是在Win32上。它从太多明显是恶意软件的W32依赖项中调用了太多敏感函数。您需要的是一个不同的植入，如钴打击灯塔或沉默打破安全倒回。我最喜欢的剧本大概是Q42014，而2015年第一至第二季的剧本是veil_evasion.cna。它在官方的源代码中，可能还有PowerSploit等等，但是它可以通过最初的作者-- https://github.com/HarmJ0y/cortana --与其他一些特定的项目一起加载。