在紅隊攻擊中,繞殺軟是一個比較常見的技術。對於繞過殺軟的方法,有基於黑白名單的,有基於shellloader的,也有基於加密與混淆的。最近在發現了這樣一款過殺軟的工具,推薦給有緣人,嘻嘻。這款工具是基於powershell編寫的,主要是powershell與windows下.net的契合度非常好(畢竟是微軟的親兒子)。工具的原理是基於加密與混淆。
工具的流程:
源碼來看也不復雜:
1.生成密鑰
2.加密
3.壓縮
4.寫操作
整個工具的代碼不復雜,有效代碼大概150行左右,混淆加密后的效果還是不錯。
工具地址:
在混淆加密前,殺毒引擎的結果如下:
使用方法:
Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1
對Mimikatz工具進行了處理后,整體的免殺效果還不錯。
也可以多次進行混淆加密,
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 100
