前言

起因,是我想测试一下,powersploit的免杀效果,然后就去github下载了powersploit的脚本集合包,powerview脚本也给集合进去了,然后就引发了一些列感到令人疑惑的事。

过程

当我导入recon信息收集模块的时候,windows defender 报毒了,给我阻止了

按照以往的查找特征码手法,是挨个文件试,结果被我发现是powerview.ps1这个脚本被windows defender报毒,范围进一步缩小。
然后就开始免杀windows defender的尝试,我开始把一些脚本里的特征字符,多余的字符,比如什么介绍,注释什么的都删掉,删掉了一部分
再次尝试导入:

依然失败,我把windows defender 来直接扫描文件,没有报毒,说明静态过了的,那肯定是动态行为没过。
powershell 脚本过amsi挺多方法的,比如字符拼接,编码,变量替换等等,但是powerview很长一段的代码,我得逐行去试,去找特征字符串,那真的难受死了。
因为我本人也不是很懂powershell,所以没去尝试,然后想到一个过windows defender的办法,感觉挺简单的
那就是用其他杀毒软件去接管windows的杀毒功能,这样windows defender就只能歇息了,因为某些原因,国内的杀毒软件没有一个会调用微软提供的amsi这个接口,所以国内的杀毒相对于来说,更好过。
然后我就安装个火绒(没有针对火绒,只是第一个想到它而已),然后再次导入,没有拦截

果然还是得用杀软对抗杀软!简直tql
然后我想着,这上来就给人家安装个杀软,动静多大啊!我有那么好心?
然后我继续删删减减,然后我直接跳到最后,加换行符。

加了一些,然后继续,依然被拦

但是不会文件不会被kaii掉,是一种进步,一次偶然得操作,我把powerview脚本移到Desktop目录下,也就是桌面

居然成功了?卧槽!!!!!!
然后我又被脚本移到其他位置,继续杀,我就很疑惑。
通过对比原先的文件,我发现我只是加了几个换行,然后我放到了不同的目录下,放在桌面居然不杀

最后我听到冷意老哥说过,windows defender 好像会不杀一些目录...........................................

彩蛋

那么各位,那些目录不会被杀嘞?实际以测试环境为准,我自己的是windows 家庭版,没装任何杀毒