0x00:前言
前两天确实比较忙,经常忙到半夜1-2点才关掉电脑洗漱。然后早上又要7点多起床干活。搬砖确实太累了。看后台有小伙伴催更,我尽力而为。爱你们!(笔芯)
这次的实验是结合"PowerShell crypter"工具(下面用简称"crypter")来对powershell脚本进行加密并采用Gzip/DEFLATE来绕过杀软。不求百分百过所有杀软,只求分享技术思路。
https://github.com/the-xentropy/xencrypt0x01:实验
1、首先生成正常的powershelll反弹脚本
2、在线查杀效果
https://r.virscan.org/language/zh-cn/report/f83b18cfffc4822de0475fbfb465f7ac
3、采用"crypter"处理"luomiweixiong.ps1"
首先在工具所在目录中powershell执行导入到模块
Import-Module ./xencrypt.ps1再利用
Invoke-Xencrypt -InFile .luomiweixiong.ps1 -OutFile jaky.ps1 -Iterations 100说明:后面的"-Iterations 100"是对脚本进行100次的加密与压缩
4、生成完,在线查杀
https://r.virscan.org/language/zh-cn/report/955f9b3a336f2d0d436864d0443eb547
4、上线测试
0x02:后记
因为工具上也没说明powershell版本,导致复现时经常出问题,最后是"wap."小伙伴指导才知道是powershell问题。在以下工具链接中,也有小伙伴有问题。最后才知道是
PowerShellWindows7 的默认版本太低,因此您可以升级Powershell
解决方案:采用其他比win7高的系统。比如win10、server12等。
https://github.com/powerline/fonts/issues/26
