谈到红队行动中的Payload投递，PowerShell脚本的免杀是个老生常谈却又不断演进的话题。业内流传的Venom框架提供了一种颇有启发性的加载方式，它巧妙地绕过了基于静态签名的硬盘查杀。今天我们不谈那些泛泛的“混淆”概念，直接切入其核心的绕过逻辑，看看它是如何将脚本“藏”起来的。 核心：从Base64到Gzip的“套娃”艺术 早期PowerShell免杀极度依赖Base64编码，-enc参数几乎成了标配。但如今...

在红队的日常里，PowerShell 的灵活性早已不是什么新鲜事，但要让它在目标机器上悄无声息地执行，却仍然是个技术活。传统的 Base64 + -enc 方式已经被大多数防病毒引擎列入特征库，压缩混淆则提供了一条相对隐蔽的通路。本文聚焦于 System.IO.Compression.GzipStream，展示如何把完整的脚本压缩、转码，再在内存中解压执行，从而实现硬盘免杀。 GzipStream 在内存加载中的原理...