[网络安全提高篇] 一一四.Powershell恶意代码检测 (2)抽象语法树自动提取万字详解

已于 2022-03-16 22:56:05 修改
阅读量8.9k 收藏 3
点赞数 4
分类专栏: 网络安全自学篇 文章标签: web安全 系统安全 Powershell 恶意代码检测 抽象语法树
于 2022-03-13 00:05:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/123424125
版权
网络安全自学篇 专栏收录该内容
121 篇文章 3365 订阅 ¥49.90 ¥99.00
订阅专栏
本文深入探讨了Powershell恶意代码检测,特别是通过抽象语法树(AST)进行自动化提取的方法。文章介绍了Powershell的高威胁性、基础语法和绕过策略,并详细阐述了AST的概念、访问、可视化、节点提取及其在恶意代码检测中的应用。此外,还提供了实际案例和代码示例,以帮助读者理解和应用AST进行安全分析。
摘要由CSDN通过智能技术生成

“网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

前文简单介绍了PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取,主要从论文的角度讲解。这篇文章将详细介绍抽象语法树的抽取方法,通过官方提供的接口实现,包括抽象语法树可视化和节点提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。

文章目录

作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~

  • 自学篇工具:
了解本专栏 订阅专栏 解锁全文
Eastmount
关注
专栏目录
订阅专栏
Powershell ISE的抽象语法树编程示例
01-10
有一个让我非常喜欢Windows PowerShell ISE的理由,就是它将它的基础脚本对象模型暴露给用户,这样就允许用户按照自己的方式和需要去自定义脚本体验。 自定义ISE的核心是$psISE对象。$psISE对象允许用户去控制ISE...
Windows权限维持之利用安全描述符隐藏服务后门
Longwaer
01-11 810
学习Windows权限维持之利用安全描述符隐藏服务后门技术,更快知晓权限维持的妙用。
玩转Markdown(2) —— 抽象语法树提取与操纵
ice breaker's blog
03-24 669
文章目录玩转Markdown(2) —— 抽象语法树提取与操纵前言AST 不是银弹普遍的 ASTMarkdown AST构建 `mdast`转化 `markdown` 字符串解析 `markdown` 字符串添加目录TOC更多操作实战自动生成 `markdown` 案例 玩转Markdown(2) —— 抽象语法树提取与操纵 前言 上一 玩转Markdown —— 数据的分离存储与组件的原生渲染 发布,转眼已经鸽了大半年了。最近在操纵 mdast 生成 md 文件的时候,心血来潮,把 玩转Markd
PowerShell脚本免杀/bypass/绕过杀毒软件
wdsj_xh的博客
05-12 2337
项目地址:https://github.com/the-xentropy/xencrypt 原文链接:http://caidaome.com/?post=246 Xencrypt是一个PowerShell加密程序,以达到某些场景下免杀/bypass/绕过杀毒软件的效果。厌倦了浪费大量时间混淆诸如invoke-mimikatz之类的PowerShell脚本,以至于无论如何都无法检测到它们?如果您可以采用任何脚本并自动且几乎不费力地生成几乎无限数量的变体来击败基于签名的防病毒检测机制,那岂不是很棒吗?.
组策略配置Powershell的Excution Policy
weixin_34117522的博客
09-11 803
Powershell有自身的安全机制,默认的情况下,Powershell的执行策略是受限的,也就是Restricted,我们想要执行脚本必须先调整这个执行策略,在计算机上以管理员模式打开Powershell,然后输入Set-ExcutionPolicy命令,后面接想要设置的执行策略,Powershell的执行策略有Restricted,Allsigned,RemoteSigned,Unrestri...
绕过PowerShell执行策略的15种方法
iteye_16188的博客
01-28 251
[url]https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/[/url]
19.Powershell基础入门及常见用法(一)1
08-03
网络安全领域,Powershell因其灵活性和深度集成而备受青睐,是Web安全专家必须掌握的技术之一。下面将详细介绍Powershell的基础概念、主要功能和常见用法。 一、Powershell初识 1. **基础概念**:Powershell是一...
[ 代码审计资源 ] apache-tomcat-8.5.63
12-25
在代码审计中,深入理解并实践Apache Tomcat 8.5.63的相关知识点是提升网络安全和渗透测试能力的重要步骤。以下是关于这个版本的一些关键知识点的详细解释: 1. **Servlet与JSP**:Tomcat作为Servlet容器,负责...
windows下的批处理(下)——PowerShell
7Riven's blog
12-31 3321
1.PowerShell条件判断 条件表达式 比较运算符:-eq、-nc、-gt、-gc、-lt、-le、-contains、-notcontain 逻辑运算:-and、-or、-xor:异或、-not或者!:逆 WhereObject条件过滤 在管道中可以通过条件判断过滤管道结果,Where-Object会对集合逐个过滤,将符合条件的结果保留。 IF ELSEIF ...
PowerShell工具之Powerup详解实录
冰河的专栏
01-08 6597
0×01. Powerup简介 Powerup是本地特权提升的一些调用方法,功能相当强大,拥有众多实用的脚本来帮助我们寻找目标主机Windows服务漏洞进行提权,也是 PowerShell Empire和PowerSploit 的一部分。 通常,在Windows下面我们可以通过内核漏洞来提升权限,但是,我们常常会碰到所处服务器通过内核漏洞提权是行不通的,这个时候,我们就需要通过脆弱的Windo...
python动态语言双刃性_攻击与防御的双刃剑:深入分析PowerShell的两面性
weixin_39671467的博客
12-08 190
概述在这一系列文章中,我将站在攻击与防御的两个不同视角,重点介绍已知攻击者如何利用不同的策略和技术来实现其恶意目的,并分析我们应该如何检测并阻止这些恶意活动。我将使用MITRE ATT&CK知识库和术语来说明其中涉及的各项技术。如果大家对MITRE ATT&CK技术不是很了解,建议可以先参考我在2018年发表过的文章和视频,题目名为“了解网络犯罪分子的工作方式,实现更加智能的安全”...
全面绕过:深入探索FullBypass——PowerShell安全研究的利器
最新发布
gitblog_00074的博客
05-30 409
全面绕过:深入探索FullBypass——PowerShell安全研究的利器 FullBypassA tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language Mode) and gives you a FullLanguage PowerShell reverse...
Powershell免杀
mingyqf的博客
05-11 2447
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
渗透技巧——获得Powershell命令的历史记录
broing55的博客
03-26 2510
前言 学习过程中,发现Powershell命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对Powershell的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法,结合利用思路,给出防御建议。 简介 本文将要介绍以下内容: ·两种Powershell命令的历史记录 ·导出Powershell命令历史记录的方法 · 防御建议 两种Power...
[论文阅读] (16)Powershell恶意代码检测论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-15 6522
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一介绍分享英文论文审稿意见及应对策略的学习笔记。这文章将简单总结Powershell恶意代码检测相关研究,并结合开源工具分享抽象语法树提取过程。希望这文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!
哪些方法可以绕过PowerShell Execution Policy?
dnqykgfmq169340687的博客
07-11 115
哪些方法可以绕过PowerShell Execution Policy? 转: https://blog.csdn.net/qq_27446553/article/details/50577296 转载于:https://www.cnblogs.com/CoBrAMG/p/9293854.html
Powershell 免杀过 defender 火绒,附自动化工具
st3pby的博客
02-20 4543
技术交流 关注微信公众号Z20安全团队, 回复加群,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 powershell执行策略修改 1 获取 PowerShell当前执行策略 Get-ExecutionPolicy windows默认配置为Restricted 2 设置执行策略 Set-ExecutionPolicy unrestricted PowerShell通过对安全做过充分考量...
windows powershell实战指南_【安全研究】powershell在主机中是否存在安全隐患?
weixin_39972019的博客
01-26 267
近日,安全狗海青实验室在研究powershell攻击运用到主机实战场景时,对powershell在主机中是否存在安全问题进行了一次较为全面的分析,并介绍了powershell从灰色工具逐步演变成为攻击利用工具的过程、攻击者的利用手段,最后分享了如何针对powershell攻击做效防御。从0到1的突破是极为困难的;从1到N却容易得多,powershell的攻击也是如此。从0到1的突破困难,但从1复制...
Powershell ISE中的抽象语法树编程:脚本分析与定位
在本文中,我们将深入探讨PowerShell Integrated Scripting Environment (Powershell ISE) 的抽象语法树(AST)编程示例。Powershell ISE 是一种强大的交互式开发环境,它允许用户对脚本进行自定义和扩展,提升脚本...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值