1 使用待实际研究
问题1
nishan在win7version是2.0,不太支持,在win10中测试
问题2
nishang既然是内存攻击,直接复制到靶机,报毒,过不了微软
解决办法,压缩包传,还不行,加密码,不信他还能解密,过杀软也是这个思路,我自己写加密方法,就是玩
问题3
微软老删除文件
解决办法:vps远程加载,直接内存里开整
原理就相当于powersehll,一个命令,访问了vps的80端口,加载了其中的payload,不用再本地加载,过杀软
具体实现,不太好实现
有个疑问,既然powershell是无文件攻击,那ps1不是文件,还是指的是文件调用不走磁盘,直接进内存,powershell攻击的原理
2
ps常用命令
get-host
Get-ExecutionPolicy
get-information
check-vm
Remove-Update #删除补丁
3 参考链接
https://blog.csdn.net/weixin_40412037/article/details/115510209