利用Powershell加密與壓縮繞過殺軟
- 2020 年 3 月 30 日
- 筆記
0x00:前言
前兩天確實比較忙,經常忙到半夜1-2點才關掉電腦洗漱。然後早上又要7點多起床幹活。搬磚確實太累了。看後台有小夥伴催更,我儘力而為。愛你們!(筆芯)
這次的實驗是結合"PowerShell crypter"工具(下面用簡稱"crypter")來對powershell腳本進行加密並採用Gzip/DEFLATE來繞過殺軟。不求百分百過所有殺軟,只求分享技術思路。
https://github.com/the-xentropy/xencrypt
0x01:實驗
1、首先生成正常的powershelll反彈腳本
2、在線查殺效果
https://r.virscan.org/language/zh-cn/report/f83b18cfffc4822de0475fbfb465f7ac
3、採用"crypter"處理"luomiweixiong.ps1"
首先在工具所在目錄中powershell執行導入到模塊
Import-Module ./xencrypt.ps1
再利用
Invoke-Xencrypt -InFile .luomiweixiong.ps1 -OutFile jaky.ps1 -Iterations 100
說明:後面的"-Iterations 100"是對腳本進行100次的加密與壓縮
4、生成完,在線查殺
https://r.virscan.org/language/zh-cn/report/955f9b3a336f2d0d436864d0443eb547
4、上線測試
0x02:後記
因為工具上也沒說明powershell版本,導致復現時經常出問題,最後是"wap."小夥伴指導才知道是powershell問題。在以下工具鏈接中,也有小夥伴有問題。最後才知道是
PowerShellWindows7 的默認版本太低,因此您可以升級Powershell
解決方案:採用其他比win7高的系統。比如win10、server12等。
https://github.com/powerline/fonts/issues/26