目录导航 使用方法 仅用于技术交流,请勿用于非法用途。 该插件没有什么技术含量,本质上利用的ps2exe.ps1脚本编译为exe,只是不想在命令行里操作,将其写为cna脚本,方便直接快速生成免杀的可执行文件且只有50KB,目前支持exe、ps1文件格式。 注:建议在powershell 4.0版本以上机器安装,可向下兼容powershell 2.0。 使用方法在导入cna脚本之前,只需要修改当前路径$path为powershell_bypass.cna所在的真实路径即可。 注意:均是两个斜杠 选择Cobalt Strike生成BIN文件。 启用该cna脚本,选择指定的bin文件,点击生成恶意的ps1文件、exe可执行文件, 点击即可上线。 使用powershell 4.0上线server 2012 使用powershell 2.0上线server 2008 如果在webshell触发该可执行文件,需要start命令 更新日志2021/7/18 参考文章https://www.jianshu.com/p/fb078a99e0d8 https://www.jianshu.com/p/f158a9d6bdcf cna脚本下载地址①GitHub: github.com/cseroad/bypassAV.zip ②云中转网盘: bypassAV_www..rar 杀毒软件绕过效果检测①bypass火绒效果生成木马以及运行木马全程火绒无反应. 静态查杀未检测到病毒运行上线火绒未报毒读取文件火绒未报毒 ② bypass 卡巴斯基效果静态查杀卡巴斯基未检测到病毒成功上线-卡巴斯基未拦截 读取文件-卡巴斯基未拦截 执行命令,卡巴斯基拦截并清除木马,同时锁定所有软件,进行木马扫描. 注意事项:①导入脚本前请务必修改路径,否则无法生成木马. ②ico图标必填,否则无法生成木马(报错) 这里选择的ico图标为卡巴斯基臭狗熊头像. ③乱码问题 这个影响不大 BY:雨苁 原文地址: https://www./cs-bypass-av/ |
|
来自: cn1188181 > 《a网络安全信息安全》