本文通过混淆器对cs生成的powershell文件进行混淆,并打包成exe的方式,来绕过主流杀软,提供一个简单思路项目地址:https://github.com/AdminTest0/Invoke-Obfuscation-Bypass原混淆器运行后,某60云查杀会报毒11个文件某绒会报毒4个文件将原项目中的以下文件混淆后进行测试Invoke-Obfuscation.ps1Out-EncodedAsciiCommand.ps1Out-EncodedBinaryCommand.ps1Out-EncodedHexCommand.ps1Out-CompressedCommand.ps1Out-EncodedBXORCommand.ps1Out-EncodedOctalCommand.ps1Out-ObfuscatedStringCommand.ps1Out-PowerShellLauncher.ps1Out-SecureStringCommand.ps1Out-EncodedWhitespaceCommand.ps1再次运行不会被拦截将Invoke-Obfuscation-Bypass打包成exe,绕过defender下面通过Invoke-Obfuscation-Bypass对powershell文件进行混淆用cs生成powershell的payload用powershell启动Invoke-Obfuscation-Bypass.exe,或者双击打开
………………………………