本文介绍了如何利用Invoke-Obfuscation工具对PowerShell(PS)脚本进行混淆,以实现上线并提高在VirusTotal上的免杀率。首先,通过Cobaltstrike创建PS1后门文件,接着在Invoke-Obfuscation中选择相应的混淆包和生成器。当遇到Win10 x64系统中Import-Module的加载问题时,可以通过修改执行策略为Unrestricted来解决。混淆后的PS1文件通过编码方式选择和输出文件名的指定完成混淆过程。最后,运行混淆后的脚本,后门即可上线。同时,文章提到了VirusTotal的检测结果,并强调未加处理的PS后门可能绕过杀软,建议安全意识较低的用户考虑卸载PowerShell。
本文介绍了如何利用Invoke-Obfuscation工具对PowerShell(PS)脚本进行混淆,以实现上线并提高在VirusTotal上的免杀率。首先,通过Cobaltstrike创建PS1后门文件,接着在Invoke-Obfuscation中选择相应的混淆包和生成器。当遇到Win10 x64系统中Import-Module的加载问题时,可以通过修改执行策略为Unrestricted来解决。混淆后的PS1文件通过编码方式选择和输出文件名的指定完成混淆过程。最后,运行混淆后的脚本,后门即可上线。同时,文章提到了VirusTotal的检测结果,并强调未加处理的PS后门可能绕过杀软,建议安全意识较低的用户考虑卸载PowerShell。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
