神兵利器 - Invisi-Shell 绕过所有Powershell安全功能

将你的Powershell脚本隐藏在目标下! Invisi-Shell通过与.Net程序集挂钩，绕过了所有Powershell的安全特性（脚本块记录、模块记录、转录、AMSI）钩子是通过CLR Profiler API进行的。

这仍然是作为POC的初步版本。该代码仅适用于x64进程，并在Powershell V5.1下进行了测试。

使用方法

• 将编译好的InvisiShellProfiler.dll与根目录下的两个批处理文件（RunWithPathAsAdmin.bat & RunWithRegistryNonAdmin.bat）从/x64/Release/文件夹复制到同一文件夹
• 运行其中一个批处理文件(取决于你是否有本地管理员权限)
• Powershell控制台将运行使用exit命令（不要关闭窗口）退出powershell，让批处理文件进行适当的清理

编译

项目是用Visual Studio 2013创建的。您需要安装Windows Platform SDK才能正确编译。

项目地址：

https://github.com/OmerYa/Invisi-Shell