利用Powershell加密與壓縮繞過殺軟

0x00:前言

前兩天確實比較忙，經常忙到半夜1-2點才關掉電腦洗漱。然後早上又要7點多起床幹活。~~搬磚確實太累了~~。看後台有小夥伴催更，我儘力而為。愛你們！(筆芯)

這次的實驗是結合"PowerShell crypter"工具(下面用簡稱"crypter")來對powershell腳本進行加密並採用Gzip/DEFLATE來繞過殺軟。不求百分百過所有殺軟，只求分享技術思路。

https://github.com/the-xentropy/xencrypt

0x01:實驗

1、首先生成正常的powershelll反彈腳本

2、在線查殺效果

https://r.virscan.org/language/zh-cn/report/f83b18cfffc4822de0475fbfb465f7ac

3、採用"crypter"處理"luomiweixiong.ps1"

首先在工具所在目錄中powershell執行導入到模塊

Import-Module ./xencrypt.ps1

再利用

Invoke-Xencrypt -InFile .luomiweixiong.ps1 -OutFile jaky.ps1 -Iterations 100

說明：後面的"-Iterations 100"是對腳本進行100次的加密與壓縮

4、生成完，在線查殺

https://r.virscan.org/language/zh-cn/report/955f9b3a336f2d0d436864d0443eb547

4、上線測試

0x02:後記

因為工具上也沒說明powershell版本，導致復現時經常出問題，最後是"wap."小夥伴指導才知道是powershell問題。在以下工具鏈接中，也有小夥伴有問題。最後才知道是

PowerShellWindows7 的默認版本太低，因此您可以升級Powershell

解決方案：採用其他比win7高的系統。比如win10、server12等。

    https://github.com/powerline/fonts/issues/26