Invoke-Obfuscation混淆ps文件繞過Windows_Defender

前提

powershell只能針對win7以後的系統，以前的win操做系統默認沒有安裝powershell。
所在目錄：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

混淆

• 1.Cobaltstrike製做ps1後門文件
• 2.進入Invoke-Obfuscation

Import-Module ./Invoke-Obfuscation.psd1
Invoke-Obfuscation

可能會報錯？！
win10 x64系統 Import-Module 沒法加載文件，提示此係統上禁止運行腳本。

解決
管理員權限下運行：Set-ExecutionPolicy Unrestricted

• 3.設置ps1文件進行混淆

set scriptpath E:\...\Invoke-Obfuscation_PowerShell\payload.ps1
encoding
1

• 4.輸出文件
  out 1.ps1
  

而後運行 powershell 1.ps1 或 ./1.ps1，接收端就上線了。

上線

powershell是一款很強大的工具，且不少原生不通過任何處理的ps後門文件都能輕鬆繞過殺軟。如不使用，對於安全意識較弱的同窗能夠刪除系統 powershell.exe 程序。