Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软

  • A+
所属分类:安全文章


本文通过混淆器对cs生成的powershell文件进行混淆,并打包成exe的方式,来绕过主流杀软,提供一个简单思路


项目地址:

https://github.com/AdminTest0/Invoke-Obfuscation-Bypass


原混淆器运行后,某60云查杀会报毒11个文件


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


某绒会报毒4个文件


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


将原项目中的以下文件混淆后进行测试

Invoke-Obfuscation.ps1Out-EncodedAsciiCommand.ps1Out-EncodedBinaryCommand.ps1Out-EncodedHexCommand.ps1Out-CompressedCommand.ps1Out-EncodedBXORCommand.ps1Out-EncodedOctalCommand.ps1Out-ObfuscatedStringCommand.ps1Out-PowerShellLauncher.ps1Out-SecureStringCommand.ps1Out-EncodedWhitespaceCommand.ps1


再次运行不会被拦截


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


将Invoke-Obfuscation-Bypass打包成exe,绕过defender


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


下面通过Invoke-Obfuscation-Bypass对powershell文件进行混淆


用cs生成powershell的payload


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


用powershell启动Invoke-Obfuscation-Bypass.exe,或者双击打开,会在同目录生成混淆后的Invoke-Obfuscation


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


依次输入选项进行混淆(其他混淆方式自测)

set scriptpath C:Users用户名Desktoppayload.ps1tokenall1


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


导出混淆后的payload

out ..payload1.ps1


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


使用ps2exe将混淆后的ps1文件转为exe

.ps2exe.ps1 -inputFile 'payload1.ps1' -outputFile 'Test.exe' -runtime40 -lcid '' -MTA -noConsole -supportOS


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


绕过defender动态


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软


参考链接:

https://github.com/danielbohannon/Invoke-Obfuscation

https://github.com/MScholtes/TechNet-Gallery/blob/master/PS2EXE-GUI/ps2exe.ps1

https://github.com/cseroad/bypassAV



小广告时间,团队小伙伴创建的知识星球,干货多多~ 欢迎各位师傅加入


Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软

本文始发于微信公众号(NearSec):Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: