本文通过混淆器对cs生成的powershell文件进行混淆,并打包成exe的方式,来绕过主流杀软,提供一个简单思路
项目地址:
https://github.com/AdminTest0/Invoke-Obfuscation-Bypass
原混淆器运行后,某60云查杀会报毒11个文件
某绒会报毒4个文件
将原项目中的以下文件混淆后进行测试
Invoke-Obfuscation.ps1
Out-EncodedAsciiCommand.ps1
Out-EncodedBinaryCommand.ps1
Out-EncodedHexCommand.ps1
Out-CompressedCommand.ps1
Out-EncodedBXORCommand.ps1
Out-EncodedOctalCommand.ps1
Out-ObfuscatedStringCommand.ps1
Out-PowerShellLauncher.ps1
Out-SecureStringCommand.ps1
Out-EncodedWhitespaceCommand.ps1
再次运行不会被拦截
将Invoke-Obfuscation-Bypass打包成exe,绕过defender
下面通过Invoke-Obfuscation-Bypass对powershell文件进行混淆
用cs生成powershell的payload
用powershell启动Invoke-Obfuscation-Bypass.exe,或者双击打开,会在同目录生成混淆后的Invoke-Obfuscation
依次输入选项进行混淆(其他混淆方式自测)
set scriptpath C:Users用户名Desktoppayload.ps1
token
all
1
导出混淆后的payload
out ..payload1.ps1
使用ps2exe将混淆后的ps1文件转为exe
.ps2exe.ps1 -inputFile 'payload1.ps1' -outputFile 'Test.exe' -runtime40 -lcid '' -MTA -noConsole -supportOS
绕过defender动态
参考链接:
https://github.com/danielbohannon/Invoke-Obfuscation
https://github.com/MScholtes/TechNet-Gallery/blob/master/PS2EXE-GUI/ps2exe.ps1
https://github.com/cseroad/bypassAV
小广告时间,团队小伙伴创建的知识星球,干货多多~ 欢迎各位师傅加入
本文始发于微信公众号(NearSec):Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论