Question

几年前，我制作了一个工具 HideMyPS，取得了非常好的效果。它始终只是一个 POC 工具，但即使经过这么多年，它仍然可以工作。我遇到的问题是，现在 PowerShell 脚本都会被杀毒软件查杀。例如，如果我们在运行 Windows Defender 的 Windows 系统中，删除正常的 Invoke-Mimikatz.ps1，它将立即查杀 PowerShell 脚本，并在相应位置标记红色。这是传统杀毒软件的一个主要缺点，杀毒软件通常在恶意软件中寻找特定的字符串。因此，我整理了一个小的 Python 脚本，该脚本采用 PowerShell 脚本对所有字符串进行混淆处理（由于仅仅使用少量的脚本进行测试，因此它远达不到生产代码标准）。

HideMyPS 将查找所有函数，并使用 ROT 对其进行混淆处理，从 PowerShell 脚本中删除所有注释，剪切字符串规避杀毒软件的静态签名查杀。下面的例子中，我们将使用 Invoke_ Mimikatz.ps1，混淆 PowerShell 文件，如图 7.10 所示。

• cd/opt/HideMyPS。
• python hidemyps.py invoke_mimikatz.ps1 [filename.ps1]。

图 7.10

现在，查看原始文件和创建的新文件之间的区别。首先，您可以看到函数名称全部混淆，变量已经更改，字符串被分成两半，并且所有注释都删除了，如图 7.11 所示。

图 7.11

您必须记住的一件事是我们更改了 PowerShell 脚本中的所有函数名称。因此，为了调用这些函数，需要重新查看混淆后的文件，看一看我们是如何替换“function Invoke-Mimikatz”的。在这种情况下，Invoke-Mimikatz 更改为 Vaibxr-Zvzvxngm。以下示例是在打了完整补丁的 Windows 10 中运行的，其中 Defender 已更新至较新的病毒库，如图 7.12 所示。

图 7.12