Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软

本文通过混淆器对cs生成的powershell文件进行混淆，并打包成exe的方式，来绕过主流杀软，提供一个简单思路

项目地址：

https://github.com/AdminTest0/Invoke-Obfuscation-Bypass

原混淆器运行后，某60云查杀会报毒11个文件

某绒会报毒4个文件

将原项目中的以下文件混淆后进行测试

Invoke-Obfuscation.ps1Out-EncodedAsciiCommand.ps1Out-EncodedBinaryCommand.ps1Out-EncodedHexCommand.ps1Out-CompressedCommand.ps1Out-EncodedBXORCommand.ps1Out-EncodedOctalCommand.ps1Out-ObfuscatedStringCommand.ps1Out-PowerShellLauncher.ps1Out-SecureStringCommand.ps1Out-EncodedWhitespaceCommand.ps1

再次运行不会被拦截

将Invoke-Obfuscation-Bypass打包成exe，绕过defender

下面通过Invoke-Obfuscation-Bypass对powershell文件进行混淆

用cs生成powershell的payload

用powershell启动Invoke-Obfuscation-Bypass.exe，或者双击打开，会在同目录生成混淆后的Invoke-Obfuscation

依次输入选项进行混淆（其他混淆方式自测）

set scriptpath C:Users用户名Desktoppayload.ps1tokenall1

导出混淆后的payload

out ..payload1.ps1

使用ps2exe将混淆后的ps1文件转为exe

.ps2exe.ps1 -inputFile 'payload1.ps1' -outputFile 'Test.exe' -runtime40 -lcid '' -MTA -noConsole -supportOS

绕过defender动态

参考链接：

https://github.com/danielbohannon/Invoke-Obfuscation

https://github.com/MScholtes/TechNet-Gallery/blob/master/PS2EXE-GUI/ps2exe.ps1

https://github.com/cseroad/bypassAV

小广告时间，团队小伙伴创建的知识星球，干货多多~ 欢迎各位师傅加入

本文始发于微信公众号（NearSec）：Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软