概述
powershell
win自带defender杀毒工具,所以defender和powershell用的同一种语言,很容易被查杀,所以我们尽量就不要用powershell
cs生成payload--powershell、命令模式
如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1
1、文件模式-上线代码在文件重,利用powershell去执行这个ps1文件上线
2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错
尝试对这两个模式进行免杀
powershell加密
混淆、手工混淆,将内容进行base64编码,然后进行解码
工具混淆(大多都是会被查杀,被杀软记住了特征码,可以一步一步将源码修改绕过)
填充垃圾数据
1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码
2、直接在原型代码上进行添加,然后解码后进行还原
分离思路
powershell http,将数据放在网站当中,然后数据以http请求上线
更改shellcode格式
比特流不能加单引号,如果加单引号就当作字符串处理
执行模式-直接执行命令(有上线代码)
被行为阻止,动态行为拦截
1、将脚本命令转换为exe
2、命令进行各种绕过
laden-就是一个混淆可视化工具
最后
以上就是标致彩虹为你收集整理的免杀-PowerShell的全部内容,希望文章能够帮你解决免杀-PowerShell所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复