Invoke-Obfuscation混淆ps文件绕过Windows_Defender

前提

powershell只能针对win7之后的系统,之前的win操作系统默认没有安装powershell。
所在目录:C:WindowsSystem32WindowsPowerShellv1.0powershell.exe

混淆

  • 1.Cobaltstrike制作ps1后门文件
  • 2.进入Invoke-Obfuscation
Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation

可能会报错?!
win10 x64系统 Import-Module 无法加载文件,提示此系统上禁止运行脚本。

解决
管理员权限下运行:Set-ExecutionPolicy Unrestricted

  • 3.设置ps1文件进行混淆
set scriptpath E:...Invoke-Obfuscation_PowerShellpayload.ps1
encoding
1

  • 4.输出文件
    out 1.ps1

然后运行 powershell 1.ps1./1.ps1,接收端就上线了。

上线

powershell是一款很强大的工具,且很多原生不经过任何处理的ps后门文件都能轻松绕过杀软。如不使用,对于安全意识较弱的同学可以删除系统 powershell.exe 程序。

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/sstfy/p/10440301.html