免杀对抗-PowerShell-混淆+分离

最新推荐文章于 2024-09-30 23:39:20 发布
最新推荐文章于 2024-09-30 23:39:20 发布
阅读量824 收藏 2
点赞数 2
分类专栏: 免杀对抗 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/132910423
版权

演示:PowerShell-生成和上线

1.生成——启动cs,生成两种模式的powershell脚本

文件模式:执行ps1文件上线

命令模式:执行txt文件中的命令上线

2.文件模式powershell执行——两种方法

方法一:打开Win7以上自带的 Windows PowerShell ISE 来执行

成功上线:

方法二:打开命令行,启动PowerShell来执行

命令:powershell

命令:.\payload.ps1

最低0.47元/天 解锁文章
xiaoheizi安全
关注
专栏目录
powershell代码混淆绕过
weixin_41082546的博客
06-21 1521
目前大多数攻击者已经将PowerShell 利用在了各种攻击场景中,如内网渗透,APT攻击甚至包括现在流行的勒索软件中。powershell的功能强大且调用方式十分灵活。 1. cmd启动powershell 首先看看powershel使用cmd.exe启动执行代码的方式: 1.1 常规方法 cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green" cmd.exe /c "echo Write-Host SUCCESS -Fore G.
APT级全面免杀与企业纵深防御体系的红蓝对抗
悦分享
08-03 775
本文通过模拟APT演示了高级威胁的全面免杀能力,并站在防御者角度思考如何发现、检测和防御高级威胁攻击,从而了解到攻防的对抗性,体会了企业建设纵深防御体系的重要性。
PowerShell混淆相关
JiangBuLiu的博客
06-18 317
????????????相关技术文章2016.05.26-[利用机器学习检测恶意PowerShell](https://bbs.pediy.com/thread-230002.htm)2018.11.09-[FireEye - 基于机器学习的模糊命令行检测](https://www.fireeye.com/blog/threat-research/2018/11/obfuscated-command-line-detection-using-machine-learning.html)2018.11.28-
免杀-PowerShell
weixin_58782362的博客
11-20 818
win自带defender杀毒工具,所以defender和powershell用的同一种语言,很容易被查杀,所以我们尽量就不要用powershell。如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1。2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错。1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码。混淆、手工混淆,将内容进行base64编码,然后进行解码。
免杀对抗Powershell混淆&分离免杀&特征修改&填充替换
最新发布
2301_76227305的博客
09-30 882
总的来说powershell免杀的效果要比shellcode要好,上面讲的方法都是通用的,在python混淆免杀的时候,也可以利用python进行分离免杀,或者无文件落地。免杀的思路远远不止这些,会有越来越多的免杀思路,而杀软也会不断迭代升级,二者是相互成长的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 916
免杀对抗-Powershell-混淆无文件
Powershell免杀
土豆的博客
07-08 746
目录 Somethingu have to know: 0x01调用混淆 0x02别名混淆 0x03转义符混淆 0x04 拆分混淆 0x05 例子 Somethingu have to know: ps1代码自身免杀,但在用powershell执行远程下载或执行shellcode时,很容易触发杀软行为规则,查杀主要靠行为检测,powershell混淆姿势有很多,如字符串转换、变量转换、编码、压缩等等。都是根据powershell语言的特性来混淆代码,从而绕过杀软。...
开发知识点-Powershell
aming小老弟
12-25 1239
使用 powershell 转换 DLL 并使用 Invoke-Shellcode 加载。PowerShell:一个强大的命令行工具,可用于下载文件落地和管理网络连接。
开发知识点-NimLang
aming小老弟
12-25 550
Nim(最初叫 Nimrod)是一门命令式静态类型编程语言,可以被编译成 C 或 JavaScript。它是开源的,维护很活跃,还结合了来自成熟语言(如Python,Ada和Modula)的成功概念。Nim具有高效性,生成的执行文件小,编译器支持所有平台,非常适合嵌入式硬实时系统,支持各种后端编译等等,Nim强大的宏系统和独立性,
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1632
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
powershell 中的字符串混淆
lacoucou的专栏
06-23 408
例子1 (VarIaBLE '*MDr*').naMe[3,11,2]-JoiN'' 执行结果是 iex 解析: PS > VarIaBLE '*MDr*' #执行命令 variable '*MDr' Name Value
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1756
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
利用powershell进行免杀
PortugalCR7的博客
06-29 240
利用Invoke Obfuscation进行混淆。查看powershell的版本号()
Powershell绕过执行及脚本混淆
hl1293348082的专栏
03-28 1325
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。 Windows Server 的 Shell,也就是从 Dos 继承过来的命令行,处理简单问题尚可,一旦遇到稍微复杂一点的问题,它就会把本已复杂的问题,弄得更加复杂。 引入 VBScript,使得 WindowsServer 管理员处理问题的效率提高了不少。但 VBScript 是个脚本语言,即缺乏 Shell 的简单性,也不能.
免杀 | powershell免杀的几种简单方式
weixin_66717977的博客
03-13 761
免杀对抗 | powershell免杀 | 免杀技术
Powershell免杀系列(二)
st3pby的博客
02-20 3449
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 正文 powershell免杀⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。 该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...
powshell可执行免杀的思路
qq_39345447的博客
06-22 480
其实杀软还是很好骗的,我们要想象杀软是如何查杀病毒的。 杀软会读取运行的可执行文件的二进制编码,查找是否含有病毒payload的标记 然后运行的时候也会检查执行的代码是否安全(这里我还是比较难做到,只能做到上传不被杀,过检查),因为可执行文件执行了相关敏感操作杀软会快速识别你这命令的危险程度,这里要看自己构造的命令是否是正常的貌似安全的逻辑。 import base64 import os import glob import subprocess as sp class PowerShell: # fro
PowerShell模块:serilog-powershell简化Serilog日志处理
资源摘要信息:"serilog-powershell模块是一个专门为PowerShell环境设计的工具,它允许开发者轻松地在PowerShell脚本中使用Serilog这一强大的日志记录库。Serilog是一个流行的.NET应用程序日志库,它提供了灵活、可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值