Xencrypt:一款基于PowerShell脚本实现的反病毒绕过工具

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
资源分享247,583字数 805阅读2分41秒阅读模式
AI智能摘要
你是否还在为PowerShell脚本轻易被反病毒软件查杀而头疼?Xencrypt横空出世,一款基于PowerShell的开源加密利器,专为绕过AMSI及主流杀毒引擎设计。它采用AES加密与Gzip压缩,结合多层混淆、变量随机化和最高500层的递归加密,让脚本“面目全非”却功能不变。无论是渗透测试还是安全研究,它都能生成免杀变种,轻松绕过静态与动态检测。更支持一键调用,单文件运行,灵活高效。揭秘红蓝对抗中脚本免杀的底层逻辑,这才是高级持续性威胁的真实一面。
— AI 生成的文章内容摘要

Xencrypt:一款基于PowerShell脚本实现的反病毒绕过工具-图片1

Xencrypt

今天给大家介绍的这款工具名叫Xencrypt,它是一款基于PowerShell脚本实现的反病毒绕过工具。如果你不想花时间对类似invoke-mimikatz这样的PowerShell脚本进行混淆处理以避免其被检测到的话,那么Xencrypt就是你的最佳选择了。Xencrypt能够自动对目标脚本代码进行处理,并且可以生成近乎无限量的变种代码,以帮助研究人员绕过基于签名机制的反病毒检测产品。

从本质上来说,Xencrypt是一款PowerShell代码加密工具,它使用了AES加密算法以及Gzip/DEFLATE压缩算法来对目标脚本代码进行处理,并生成一个完全不同的脚本,但功能却一模一样。首先,它会对输入的脚本代码进行加密和压缩,然后将脚本数据以Payload的形式存储在新的脚本中,而这个新的脚本Payload在运行之前是无法被解密或解压的。

功能介绍

当前版本的Xencrypt拥有以下几种强大的功能:

1、绕过AMSI以及VirusToal上目前所使用的所有现代反病毒检测引擎;

2、压缩和加密PowerShell脚本;

3、资源消耗和开销非常小;

4、使用随机化变量名以进一步实现混淆处理;

5、随机化加密和压缩,还可以调整语句在代码中的顺序,以获得最大熵;

6、可根据用户需求自行修改并创建自己的密码器变种;

7、支持递归分层加密,最多可支持500层加密;

8、支持Import-Module以及标准方式来运行;

9、GPLv3-开源许可证协议;

10、所有的功能都以单一文件实现,最大程度实现灵活性;

工具使用

广大研究人员可以直接使用下列命令来生成加密和压缩处理后的新脚本:

Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1

运行了上述命令之后,你将会拿到一个已加密的文件名为“xenmimi.ps1”的PowerShell文件,该文件存储在当前工作目录下。你可以按照正常的脚本使用方式来运行或使用该脚本:

Import-Module ./xenmimi.ps1
Invoke-Mimikatz

除此之外,它还支持通过-Iterations参数来进行递归分层加密:

Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 100

上述命令将会对目标脚本进行100次的压缩和加密处理,这种方式对于动态反病毒产品绕过来说是非常有用的,因为这些反病毒产品都有一个代码分析的超时时间。在这里,动态扫描必须要扫描完整个文件代码链才有可能识别到恶意负载,因此通过递归分层加密将能够绕过这类AV产品。

不过,使用递归分层加密的话,将有可能导致最终生成的脚本文件体积过大,而且生成和输出文件可能也需要花很长的时间,具体将取决于脚本和请求的迭代次数。

工具运行截图

Xencrypt:一款基于PowerShell脚本实现的反病毒绕过工具-图片2
Xencrypt:一款基于PowerShell脚本实现的反病毒绕过工具-图片2

项目地址

Xencrypt:【GitHub传送门

https://www.freebuf.com/sectool/229249.html

 
枫少@KillBoy
评论  24  访客  24
    • 话痨小蝴蝶
      话痨小蝴蝶 1

      这工具听起来有点意思,就是不知道实际用起来怎么样

      • SunnySnail
        SunnySnail 0

        之前用invoke-mimikatz总被拦,回头试试这个

        • The Mute Muse
          The Mute Muse 0

          能绕过AMSI吗?现在AV查得严,上次用的几个都被杀了

            • 尘外心
              尘外心 0

              @ The Mute Muse AMSI绕过是支持的,文档里写了,我试过Win10默认Defender能过

            • 花鼓少年
              花鼓少年 0

              递归加密500层?那生成的文件得多大啊,会不会跑不动

              • 枫叶小语
                枫叶小语 0

                看介绍功能挺全,开源这点不错,可以自己改改

                • 至尊王者
                  至尊王者 0

                  对于搞安全的来说是个好东西,不过新手可能不太敢碰这类工具

                  • 比特狂徒
                    比特狂徒 0

                    图片那个骷髅头还挺唬人的 hhh

                    • 甩甩马
                      甩甩马 0

                      需要自己搭环境吗?还是直接就能跑

                      • 裤衩外穿
                        裤衩外穿 0

                        这种工具用的时候得小心点,别把自己机器搞崩了

                          • 咕噜小奶球
                            咕噜小奶球 0

                            @ 裤衩外穿 用之前最好沙盒里跑一圈,别一上来就本机试

                          • 耐心导师
                            耐心导师 0

                            支持Import-Module还行,比一些要复杂配置的方便

                            • 社交迷糊
                              社交迷糊 0

                              那个放大镜配骷髅头,一眼就感觉来者不善 👍

                              • 灵魂出窍
                                灵魂出窍 0

                                递归100层我都试过,文件是大了点,但内存占用还好

                                • 梦幻精灵Eva
                                  梦幻精灵Eva 1

                                  开源协议是GPLv3,这点挺好

                                  • 星河马
                                    星河马 0

                                    这脚本加密思路挺野的,压缩+AES+乱序,AV估计头疼

                                    • RainyDayRead
                                      RainyDayRead 1

                                      能绕过那么多AV,有点东西啊。

                                      • 俏皮蛋
                                        俏皮蛋 0

                                        开源是真好,至少代码能自己看,不怕藏后门

                                        • 草莓棉花
                                          草莓棉花 0

                                          求问这玩意在Win7上兼容性咋样?老系统还能跑不

                                          • 郁金香之吻
                                            郁金香之吻 1

                                            之前搞红队演练总被AMSI卡住,这下有救了

                                            • 竹月清
                                              竹月清 0

                                              生成的脚本导入就能用,比那些要改注册表的方便多了

                                              • 幽魂吟唱者
                                                幽魂吟唱者 0

                                                说实话,这种工具双刃剑,看谁用

                                                • Wyrmspire
                                                  Wyrmspire 1

                                                  500层加密听着吓人,实际用起来怕是IO直接拉满吧

                                                匿名

                                                发表评论

                                                匿名网友

                                                拖动滑块以完成验证