Get busy living or get busy dying

什么是图片免杀？

答：一般情况下，某些 AV 对图像未执行检测处理。这种情况下，它们可以仅使用有效负载数据来生成新图像，或将有效负载嵌入到现有图像的最低有效字节中，使其看起来像实际图像。这些图像以PNG格式保存，可进行无损压缩，不影响执行有效负载的能力，因为数据本身以颜色存储。生成新图像时，通常会对常规PowerShell脚本进行显著压缩，并生成大小约为原始脚本50％的PNG文件，非常方便。

生成ps1的 payload 文件

保持默认配置，选择已经创建的监听器，设置输出类型为powershell，注意勾选x64，然后点击Generate按钮， 如图

保存为 payload.ps1 文件

然后把生成的文件放到和 Invoke-PSImage.ps1 文件同一目录：

然后再准备一张普通图片用于生成一个带有 Payload 的图片：

之后生成一个带有 shellcode 的图片：

生成 shellcode 的图片

命令执行如下

可以看到已生成 11.png 文件

之后就会得到一串 Powershell 代码：

此时我们可以将图片放到我们自己的服务器上，修改 powershell 代码为我们自己的 服务器地址

绕过静态查杀

绕过动态查杀

之后后运行该 powershell 代码成功上线：

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：儒道易行 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

CSDN:
https://rdyx0.blog.csdn.net/公众号：
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect博客:
https://rdyx0.github.io/先知社区：
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85