Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API - CreateProcess или ShellExecute). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).

powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe

Эти API ведь можно использовать в VBScript, если мне память не подводит.

Могу предложить такой вариант - создаем file.vbs

Код:


Для запуска отдаем:
wscript ""path\to\your vbs file.vbs"

Код:


в данном случае в VBS так же можно передать параметры

Код:



Последний параметр обязательно оставляем 0 - так как он и передает значение запуска в скрытом режиме.

Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.