我记得这个好像是用了base64以及一些偏移加密了真正的shellcode,然后用 powershell 解密后执行。有些杀软针对cs生成的这种静态的文本特征查杀,你可以自己解密后再用自己的加密方法,比如改一下偏移,很容易就可以过;有些会杀 -w hidden ,不带这个参数就可以,如果是个人机,就容易被看到并发现;还可以先写到文本,再powershell执行 -File 绕过;也可以放到服务器上,powershell 加载,不落地执行,不过遇到杀流量的就小心点;还有可以加一些 powershell 的参数 nop 等等;最后,可以结合上面多种搞一下,效果可能会更好,当然,方法不止这些,还得自己慢慢摸索,比较菜,说得不好大佬见谅。