Invoke-Obfuscation混淆ps文件绕过Windows_Defender
2024-10-19 23:52:34
前提
powershell只能针对win7之后的系统,之前的win操作系统默认没有安装powershell。
所在目录:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
混淆
- 1.Cobaltstrike制作ps1后门文件
- 2.进入Invoke-Obfuscation
Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation
可能会报错?!
win10 x64系统 Import-Module 无法加载文件,提示此系统上禁止运行脚本。
解决
管理员权限下运行:Set-ExecutionPolicy Unrestricted
- 3.设置ps1文件进行混淆
set scriptpath E:\...\Invoke-Obfuscation_PowerShell\payload.ps1
encoding
1
- 4.输出文件
out 1.ps1
然后运行 powershell 1.ps1 或 ./1.ps1,接收端就上线了。
上线
powershell是一款很强大的工具,且很多原生不经过任何处理的ps后门文件都能轻松绕过杀软。如不使用,对于安全意识较弱的同学可以删除系统 powershell.exe 程序。
最新文章
- usb驱动开发之大结局
- 【Alpha版本】 第四天 11.10
- [HDU3709]Balanced Number
- Twig模版语言入门
- [转]Delphi多线程编程入门(一)
- 设置input(radio,checkbox)和lable对齐的问题
- 【贪心】bzoj 3709:[PA2014]Bohater
- oracle数据库TNS
- page-object使用(3)---元素嵌套
- JavaScript 保留关键字
- Java实现BASE64编解码
- UESTC_冬马党 CDOJ 882
- Flink资料(2)-- 数据流容错机制
- Android error:No CPU/ABI system image available for this target
- find指令
- pthread_create线程创建的过程剖析(转)
- 二叉树,平衡树,红黑树,B~/B+树汇总
- 虚函数&多态
- Python第十五天 datetime模块 time模块 thread模块 threading模块 Queue队列模块 multiprocessing模块 paramiko模块 fabric模块
- 转:AOP与JAVA动态代理