在红队攻击中,绕杀软是一个比较常见的技术。对于绕过杀软的方法,有基于黑白名单的,有基于shellloader的,也有基于加密与混淆的。最近在发现了这样一款过杀软的工具,推荐给有缘人,嘻嘻。这款工具是基于powershell编写的,主要是powershell与windows下.net的契合度非常好(毕竟是微软的亲儿子)。工具的原理是基于加密与混淆。
工具的流程:
源码来看也不复杂:
1.生成密钥
2.加密
3.压缩
4.写操作
整个工具的代码不复杂,有效代码大概150行左右,混淆加密后的效果还是不错。
工具地址:
在混淆加密前,杀毒引擎的结果如下:
使用方法:
Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1
对Mimikatz工具进行了处理后,整体的免杀效果还不错。
也可以多次进行混淆加密,
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 100
