github地址:https://github.com/danielbohannon/Invoke-Obfuscation
使用的CS生成的ps1文件
Attacks->Payload Generator->powershell
安裝方法這里跳過
啟動:
跳轉到文件目錄: cd 'E:\Safe_Tool\webshell\Invoke-Obfuscation-master\'
導入模塊: Import-Module .\Invoke-Obfuscation.psd1
啟動: Invoke-Obfuscation
設置需要操作的ps1文件
set scriptpath C:\Users\This_is_Y\Desktop\2.ps1 #設置腳本位置
英語不好,翻譯了一下
選擇以下選項之一:
令牌 混淆PowerShell命令令牌
AST 混淆PowerShell Ast節點(PS3.0+)
字符串 將整個命令混淆為字符串
編碼 通過編碼混淆整個命令
壓縮 將整個命令轉換為一行程序並進行壓縮
發射器 混淆命令參數w /發射器技術(結束)運行一次
需要那個就輸入哪個的英文(不區分大小寫)
token
進入到token選項后,又會給一些選項
令牌\字符串\ 混淆字符串令牌(建議先運行)
令牌\命令\ 混淆命令令牌
令牌\參數\ 混淆參數令牌
令牌\成員\ 混淆成員令牌
令牌\變量\ 混淆變量令牌
令牌\類型\ 混淆類型令牌
標記\注釋\ 刪除所有注釋標記
令牌\空格\ 插入隨機空格(建議最后運行)
令牌\ALL \ 從上面選擇所有選項(隨機順序)
這里我圖方便直接一個alll了
輸出加密后的文件
直接輸出到當前目錄下:out 2_token_all.ps1
也可以自己控制輸出文件位置
(實測過火絨,2020.10.03)
virustotal.com上查殺率為1/59
AST:
機翻
AST\NamedAttributeArgumentAst 模糊NamedAttributeArgumentAst節點
AST\ParamBlockAst 模糊paramblock節點
AST\ScriptBlockAst 混淆ScriptBlockAst節點
AST\AttributeAst 模糊AttributeAst節點
AST\BinaryExpressionAst 模糊BinaryExpressionAst節點
AST\HashtableAst 模糊HashtableAst節點
AST\CommandAst 模糊CommandAst節點
AST\AssignmentStatementAst 模糊AssignmentStatementAst節點
AST\TypeExpressionAst 混淆TypeExpressionAst節點
AST\TypeConstraintAst 混淆TypeConstraintAst節點
AST\ALL 從上面選擇所有選項
不太懂AST是什么,但是如果只看結果
這一類的混淆似乎不太好,用ALL測試一下,運行,火絨依然報毒