前提
powershell只能針對win7之后的系統,之前的win操作系統默認沒有安裝powershell。
所在目錄:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
混淆
- 1.Cobaltstrike制作ps1后門文件
- 2.進入Invoke-Obfuscation
Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation
可能會報錯?!
win10 x64系統 Import-Module 無法加載文件,提示此系統上禁止運行腳本。
解決
管理員權限下運行:Set-ExecutionPolicy Unrestricted
- 3.設置ps1文件進行混淆
set scriptpath E:\...\Invoke-Obfuscation_PowerShell\payload.ps1
encoding
1
- 4.輸出文件
out 1.ps1
然后運行 powershell 1.ps1 或 ./1.ps1,接收端就上線了。
上線
powershell是一款很強大的工具,且很多原生不經過任何處理的ps后門文件都能輕松繞過殺軟。如不使用,對於安全意識較弱的同學可以刪除系統 powershell.exe 程序。