7.10 HideMyPS
几年前,我制作了一个工具 HideMyPS,取得了非常好的效果。它始终只是一个 POC 工具,但即使经过这么多年,它仍然可以工作。我遇到的问题是,现在 PowerShell 脚本都会被杀毒软件查杀。例如,如果我们在运行 Windows Defender 的 Windows 系统中,删除正常的 Invoke-Mimikatz.ps1,它将立即查杀 PowerShell 脚本,并在相应位置标记红色。这是传统杀毒软件的一个主要缺点,杀毒软件通常在恶意软件中寻找特定的字符串。因此,我整理了一个小的 Python 脚本,该脚本采用 PowerShell 脚本对所有字符串进行混淆处理(由于仅仅使用少量的脚本进行测试,因此它远达不到生产代码标准)。
HideMyPS 将查找所有函数,并使用 ROT 对其进行混淆处理,从 PowerShell 脚本中删除所有注释,剪切字符串规避杀毒软件的静态签名查杀。下面的例子中,我们将使用 Invoke_ Mimikatz.ps1,混淆 PowerShell 文件,如图 7.10 所示。
- cd/opt/HideMyPS。
- python hidemyps.py invoke_mimikatz.ps1 [filename.ps1]。
图 7.10
现在,查看原始文件和创建的新文件之间的区别。首先,您可以看到函数名称全部混淆,变量已经更改,字符串被分成两半,并且所有注释都删除了,如图 7.11 所示。
图 7.11
您必须记住的一件事是我们更改了 PowerShell 脚本中的所有函数名称。因此,为了调用这些函数,需要重新查看混淆后的文件,看一看我们是如何替换“function Invoke-Mimikatz”的。在这种情况下,Invoke-Mimikatz 更改为 Vaibxr-Zvzvxngm。以下示例是在打了完整补丁的 Windows 10 中运行的,其中 Defender 已更新至较新的病毒库,如图 7.12 所示。
图 7.12
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论