目录:
· 什么是混淆
· 什么
i. 调用-混淆
ii. BetterXencrypt 公司
· 混淆我们的 payload
· 测试
· 结论
1. 什么是混淆:
可以立即识别以任何形式创建的简单有效负载。混淆是一种修改有效负载以使其更难检测的方法。在本文中,我们将了解如何实现它,以便避免使用检测技术,并可以交付和执行有效载荷。我们将使用一些众所周知的工具来演示这一点。
2. 什么是 Invoke-Obfuscation:
-
Invoke-Obfuscation 是一种适用于 PowerShell 2.0 及更高版本的 PowerShell 命令和脚本混淆器。
a. 使用以下命令启动该工具:
i. 导入模块 ./Invoke-Obfuscation.ps1
ii. 导入模块 ./Invoke-Obfuscation.psd1
iii. 调用-混淆
现在选择要进行模糊处理的任何 PowerShell 有效负载 [在本例中为 Powerview.ps1]
现在,让我们混淆我们的 payload:
湾。现在,让我们首先检查原始和混淆有效载荷的内容:
测试:
c.现在,让我们在 virustotal.com 和实时环境中测试原始和模糊处理的有效负载。[结果可能因供应商为引擎在 virustotal 中执行的设置选择而有所不同。
d. 如上图所示,Bitdefender 识别了原始负载,但没有识别伪装的负载。
e.否,让我们测试一下经过混淆处理的 powerview 是否与原始 powerview 的工作方式相同:
f.此外,在下面的屏幕截图中可以看到,它的工作方式与 windows cmd 或 PowerShell 中的工作方式相同:
注意:Get-NetDomain、Get-NetGPO 是一个 Powerview 模块,除非导入它,否则将无法正常工作
g. 测试
3. 更好的 Xencrypt:
a. 什么是 BetterXencrypt
它是一个 FUD 生成器和一个 Powershell 运行时加密器,旨在避免使用防病毒软件。
b. 混淆我们的 payload [混淆 2 次以达到零检测]
再次混淆它:
c. 测试
d. 结论:
在这篇文章中,我们已经看到了如何隐藏产生的 payload 并且可以避免检测技术。还有更多类型的混淆,但出于演示目的,这里介绍了一种。
其它课程
linux恶意软件开发对抗与进程安全管理视频教程
linux文件系统存储与文件过滤安全开发视频教程(2024最新)
linux高级usb安全开发与源码分析视频教程
linux程序设计与安全开发
-
windows恶意软件开发与对抗视频教程
-
windows网络安全防火墙与虚拟网卡(更新完成)
-
windows文件过滤(更新完成)
-
USB过滤(更新完成)
-
游戏安全(更新中)
-
ios逆向
-
windbg
-
还有很多免费教程(限学员)
-
更多详细内容添加作者微信
原文始发于微信公众号(安全狗的自我修养):Payload Obfuscation
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论