在紅隊攻擊中,繞殺軟是乙個比較常見的技術。對於繞過殺軟的方法,有基於黑白名單的,有基於shellloader的,也有基於加密與混淆的。最近在發現了這樣一款過殺軟的工具,推薦給有緣人,嘻嘻。這款工具是基於powershell編寫的,主要是powershell與windows下.net的契合度非常好(畢竟是微軟的親兒子)。工具的原理是基於加密與混淆。
工具的流程:
原始碼來看也不複雜:
1.生成金鑰
2.加密
3.壓縮
4.寫操作
整個工具的**不複雜,有效**大概150行左右,混淆加密後的效果還是不錯。
在混淆加密前,防毒引擎的結果如下:
使用方法:
import-module ./xencrypt.ps1
invoke-xencrypt -infile invoke-mimikatz.ps1 -outfile xenmimi.ps1
也可以多次進行混淆加密,
冷眼看殺軟
全世界五大防毒引擎 1 第乙個當然是要說說諾頓了,首創實時監控技術,還知道微軟的 大家都說諾頓不好,其實諾頓的引擎很強大。從最底層保護計算機,所以執行起來不太快,只是防毒理念不同,才讓諾頓不適合個人使用者。它主要以隔離為主,防止企業檔案被刪除。因為有些被病毒感染了的檔案根本不能完全防毒。直接刪除又會...
記一次PowerShell免殺實戰
最近在玩免殺,發現了一些免殺思路,今天來給大家做個分享,希望可以幫到大家。unix 系統一直有著功能強大的殼程式 shell windows powershell的誕生就是要提供功能相當於unix系統的命令列殼程式 例如 sh bash或csh 同時也內建指令碼語言以及輔助指令碼程式的工具,使命令列...
360殺軟檢測機制猜想
360檢測機制應用是 機器 加 人工。機器檢測主要對軟體行為進行排查,比如登錄檔 檔案 網路 以及程序操作等。如果沒有可疑行為,那麼應該會認定這個軟體是安全的,也就是不會報毒了。如果有可疑行為,應該還是以人工判斷為主。人工判斷,不可能去對程式本身進行反編譯,去查彙編 肯定是依賴於機器分析的結果再去近...