免杀-PowerShell

powershell

win自带defender杀毒工具,所以defender和powershell用的同一种语言,很容易被查杀,所以我们尽量就不要用powershell

cs生成payload--powershell、命令模式

如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1

1、文件模式-上线代码在文件重,利用powershell去执行这个ps1文件上线

2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错

尝试对这两个模式进行免杀

powershell加密

混淆、手工混淆,将内容进行base64编码,然后进行解码

工具混淆(大多都是会被查杀,被杀软记住了特征码,可以一步一步将源码修改绕过)

填充垃圾数据

        1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码

        2、直接在原型代码上进行添加,然后解码后进行还原

分离思路

        powershell http,将数据放在网站当中,然后数据以http请求上线

更改shellcode格式

比特流不能加单引号,如果加单引号就当作字符串处理

执行模式-直接执行命令(有上线代码)

被行为阻止,动态行为拦截

1、将脚本命令转换为exe 

2、命令进行各种绕过

laden-就是一个混淆可视化工具

本文链接:https://my.lmcjl.com/post/6566.html

展开阅读全文

4 评论

留下您的评论.