TypechoJoeTheme

Harvey

统计
登录
用户名
密码
/
注册
用户名
邮箱
文章目录

Powerview脚本和Windowsdefender的恩恩怨怨

2021-02-15
/
0 评论
/
39 阅读
/
633 字数
/
阅读时长 ≈ 2分钟
/
正在检测是否收录...
02/15

前言

起因,是我想测试一下,powersploit的免杀效果,然后就去github下载了powersploit的脚本集合包,powerview脚本也给集合进去了,然后就引发了一些列感到令人疑惑的事。

过程

当我导入recon信息收集模块的时候,windows defender 报毒了,给我阻止了

按照以往的查找特征码手法,是挨个文件试,结果被我发现是powerview.ps1这个脚本被windows defender报毒,范围进一步缩小。
然后就开始免杀windows defender的尝试,我开始把一些脚本里的特征字符,多余的字符,比如什么介绍,注释什么的都删掉,删掉了一部分
再次尝试导入:

依然失败,我把windows defender 来直接扫描文件,没有报毒,说明静态过了的,那肯定是动态行为没过。
powershell 脚本过amsi挺多方法的,比如字符拼接,编码,变量替换等等,但是powerview很长一段的代码,我得逐行去试,去找特征字符串,那真的难受死了。
因为我本人也不是很懂powershell,所以没去尝试,然后想到一个过windows defender的办法,感觉挺简单的
那就是用其他杀毒软件去接管windows的杀毒功能,这样windows defender就只能歇息了,因为某些原因,国内的杀毒软件没有一个会调用微软提供的amsi这个接口,所以国内的杀毒相对于来说,更好过。
然后我就安装个火绒(没有针对火绒,只是第一个想到它而已),然后再次导入,没有拦截

果然还是得用杀软对抗杀软!简直tql
然后我想着,这上来就给人家安装个杀软,动静多大啊!我有那么好心?
然后我继续删删减减,然后我直接跳到最后,加换行符。

加了一些,然后继续,依然被拦

但是不会文件不会被kaii掉,是一种进步,一次偶然得操作,我把powerview脚本移到Desktop目录下,也就是桌面

居然成功了?卧槽!!!!!!
然后我又被脚本移到其他位置,继续杀,我就很疑惑。
通过对比原先的文件,我发现我只是加了几个换行,然后我放到了不同的目录下,放在桌面居然不杀

最后我听到冷意老哥说过,windows defender 好像会不杀一些目录...........................................

彩蛋

那么各位,那些目录不会被杀嘞?实际以测试环境为准,我自己的是windows 家庭版,没装任何杀毒

朗读
赞 · 15
赞赏
感谢您的支持,我会继续努力哒!

三合一收款

下面三种方式都支持哦

微信
QQ
支付宝
打开支付宝/微信/QQ扫一扫,即可进行扫码打赏哦
版权属于:

Harvey

本文链接:

https://blog.harvey.plus/index.php/Gamma-laboratory/91.html(转载时请注明本文出处及文章链接)

望悉知:

请严格遵守网络安全法相关条例!一切分享仅用于学习!一切违法行为皆与本站无关!

评论 (0)
Harvey
最怕碌碌无为还叹平凡可贵
101 文章数
11 评论量

人生倒计时

今日已经过去小时
这周已经过去
本月已经过去
今年已经过去个月

标签云

微博热搜榜

  • 获取失败!

今日天气