本文通过混淆器对cs生成的powershell文件进行混淆,并打包成exe的方式,来绕过主流杀软,提供一个简单思路
项目地址:
https://github.com/AdminTest0/Invoke-Obfuscation-Bypass
原混淆器运行后,某60云查杀会报毒11个文件
某绒会报毒4个文件
将原项目中的以下文件混淆后进行测试
Invoke-Obfuscation.ps1Out-EncodedAsciiCommand.ps1Out-EncodedBinaryCommand.ps1Out-EncodedHexCommand.ps1Out-CompressedCommand.ps1Out-EncodedBXORCommand.ps1Out-EncodedOctalCommand.ps1Out-ObfuscatedStringCommand.ps1Out-PowerShellLauncher.ps1Out-SecureStringCommand.ps1Out-EncodedWhitespaceCommand.ps1
再次运行不会被拦截
将Invoke-Obfuscation-Bypass打包成exe,绕过defender
下面通过Invoke-Obfuscation-Bypass对powershell文件进行混淆
用cs生成powershell的payload
用powershell启动Invoke-Obfuscation-Bypass.exe,或者双击打开,会在同目录生成混淆后的Invoke-Obfuscation
依次输入选项进行混淆(其他混淆方式自测)
set scriptpath C:Users用户名Desktoppayload.ps1tokenall1
导出混淆后的payload
out ..payload1.ps1
使用ps2exe将混淆后的ps1文件转为exe
.ps2exe.ps1 -inputFile 'payload1.ps1' -outputFile 'Test.exe' -runtime40 -lcid '' -MTA -noConsole -supportOS
绕过defender动态
参考链接:
https://github.com/danielbohannon/Invoke-Obfuscation
https://github.com/MScholtes/TechNet-Gallery/blob/master/PS2EXE-GUI/ps2exe.ps1
https://github.com/cseroad/bypassAV
小广告时间,团队小伙伴创建的知识星球,干货多多~ 欢迎各位师傅加入
本文始发于微信公众号(NearSec):Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论