3vilGu4rd是一个权限维持的工具。使用VBS编写,并打包成VBE后缀的二进制文件,理论上在xp以后的系统都可以运行。经测试,在win7,w2k8,win2019,win10win11都可以正常进行权限维持。
可以在拿到主机权限的时候上传到被害者主机上,运行程序,指定权限维持的后门木马或者其他命令即可。
注销上线
http://mpvideo.qpic.cn/0bc3h4abyaaabmalvibeefrfap6ddq7qahaa.f10002.mp4?dis_k=c5b3e2bd263130942f3efdd02eda1a12&dis_t=1648891847&vid=wxv_2298088379626160130&format_id=10002&support_redirect=0&mmversion=false
关机上线
http://mpvideo.qpic.cn/0b2eyyaaiaaadmakdhredvrfbrwdatdaabaa.f10002.mp4?dis_k=7d2ff429bf2bc04c2a0590ddeecbe339&dis_t=1648891847&vid=wxv_2298086920847228937&format_id=10002&support_redirect=0&mmversion=false
操作方式如下:
1.上传守护进程3vilGu4rd.vbe到目标主机上,然后上传木马到受害者主机上(remote.exe,自定义路径)
2.用CS的shell 远程调用3vilGu4rd.vbe去守护我们的木马程序。
3vilGu4rd.vbe (木马的相对路径/绝对路径) [进程名]
在使用工具的时候,一定要使用木马的绝对路径。否则会导致失败!!!
3.双击运行程序或者使用shell直接调用程序,会弹出程序的使用方法以及注意事项。实战中不要直接调用
工具特点:
- 1.“子母”型守护进程,母程序不存在shellcode或者恶意代码,减少母程序被发现的风险
- 2.子程序功能单一,减小启发式检测导致的恶意程序检测
- 3.动态生成,利用“雪崩效应”,每次生成的文件Hash值都不同
- 4.程序自毁,程序执行完功能后会自毁,不留下痕迹
- 5.用户注销或者重新重启机器都能上线
- 6.VBE格式,通用性好,理论上XP后的系统都能使用。VBE格式是VBS的加密版本,程序代码以及加密,破解难度比较大
- 7.目前能绕过国内杀软的检测(非木马程序)
3vilGu4rd下载地址:https://github.com/PDWR/3vilGu4rd
这个程序为3vil工具箱中的一个,后续程序会通过GitHub更新。
有问题可以在GitHub上提交Issues!!
