利用Powershell加密与压缩绕过杀软

0x00:前言

前两天确实比较忙，经常忙到半夜1-2点才关掉电脑洗漱。然后早上又要7点多起床干活。搬砖确实太累了。看后台有小伙伴催更，我尽力而为。爱你们！(笔芯)

这次的实验是结合"PowerShell crypter"工具(下面用简称"crypter")来对powershell脚本进行加密并采用Gzip/DEFLATE来绕过杀软。不求百分百过所有杀软，只求分享技术思路。

https://github.com/the-xentropy/xencrypt

0x01:实验

1、首先生成正常的powershelll反弹脚本

2、在线查杀效果

https://r.virscan.org/language/zh-cn/report/f83b18cfffc4822de0475fbfb465f7ac

3、采用"crypter"处理"luomiweixiong.ps1"

首先在工具所在目录中powershell执行导入到模块

Import-Module ./xencrypt.ps1

再利用

Invoke-Xencrypt -InFile .\luomiweixiong.ps1 -OutFile jaky.ps1 -Iterations 100

说明：后面的"-Iterations 100"是对脚本进行100次的加密与压缩

4、生成完，在线查杀

https://r.virscan.org/language/zh-cn/report/955f9b3a336f2d0d436864d0443eb547

4、上线测试

0x02:后记

因为工具上也没说明powershell版本，导致复现时经常出问题，最后是"wap."小伙伴指导才知道是powershell问题。在以下工具链接中，也有小伙伴有问题。最后才知道是

PowerShellWindows7 的默认版本太低，因此您可以升级Powershell

解决方案：采用其他比win7高的系统。比如win10、server12等。

    https://github.com/powerline/fonts/issues/26