背景
有很多人和我说exe被杀了怎么办?我问大家一句mimikaz被杀了你怎么办,是不是用它的PowerShell版或者转成其它格式来免,当然也可以直接修改源码免,但由于是公开的里面很多函数都被杀软盯得很死,加上很多人根本不是很懂代码,对一个公开并且很受欢迎的工具做源码免杀也是很花时间的。所以网上有不少免杀MZ的方法,EXE不能用时大家也会去用PowerShell版远程加载读取等,怎么到Ladon这你们就不知道怎么办了呢?不是一样的原理吗?难道是因为PS版体积较大?有些PY或GO写的工具先不说一般最小就2-3M,有些工具甚至几M甚至几十M也就一个功能你都肯传到目标,而那个功能Ladon也有甚至可能比它还好。Ladon就算是PowerShell版也不过2-3M,能为了一个功能上传几十M,怎么就不能传2-3M的PS版Ladon?难道打算上传一堆几M或十几M的工具到目标?不是吧,阿SIR
由于PowerShell版我也很少用到,所以Github上只转到6.6版本,其它版本大家可以按需转
https://github.com/k8gege/PowerLadon (9.23测试,世界杀软网全免,本地卡巴全免)
免杀原理
由于很多杀软对于powershell脚本的查杀能力比较差,所以可以将.NET程序转成PowerShell脚本,当然并非是反编译EXE再将代码转成PowerShell,这种方法一是难度大又麻烦吃力不讨好,PowerShell的兼容性我想大家应该深受其害,有些函数在C#里可用,但转成powershell可能兼容问题,所以最佳方案是转成BYTE、HEX、BASE64、ASCII、AES等