使用VSCode远程调试恶意Powershell脚本

最新推荐文章于 2024-07-23 13:44:43 发布
最新推荐文章于 2024-07-23 13:44:43 发布
阅读量787 收藏 2
点赞数
分类专栏: 恶意软件分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/108978935
版权
本文介绍了如何使用VSCode进行远程调试Powershell恶意脚本,以提高解密分析效率。通过虚拟机环境搭建、VSCode配置和远程调试步骤,详细解析了如何在安全环境下对混淆、加密的Powershell后门进行动态分析。
摘要由CSDN通过智能技术生成

概述

在野的Powershell恶意脚本总是经过多重混淆、加密,直接静态分析难以得知脚本具体有什么恶意行为,所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE,但ISE没有较友好的调试窗口,使得调试脚本时效率低下,下面,将介绍使用VSCode实现远程调试Powershell脚本,帮助你提升解密分析Powershell恶意脚本的效率。

样本获取

本次演示所使用的样本为一个Powershell后门,其特点是有多层恶意代码,会从C&C服务器多次加载不同payload,样本地址为:https://app.any.run/tasks/bcc45d64-8d87-42e2-9dad-d8cad6fbc20d。
1

母体为一个bat脚本,主要功能就是执行一段base64加密后的Powershell脚本。
2

解密后的代码,正是这个样本的核心代码,接下来就开始对其进行调试分析。
3

虚拟机环境搭建

首先虚拟机建议使用Win10,因为VSCode的远程调试功能与Win10兼容性更好,同时,建立远程会话需要将虚拟机里的网络类型设置为专用。
4

然后在虚拟机里运行:winrm quickconfig,即可开启Windows 远程管理(WinRM) 服务。
5

为了在虚拟机里成功运行调试Powershell脚本,还需开放脚本执行权限set-executionpolicy unrestricted,以及关闭Windows Defender。

本机VSCode环境搭建

远程调试,需要安装Powershell插件,打开VSCode,直接在商店搜索直接安装即可。
6

在Powershell控制台中输入:Enter-PSSession -ComputerName [虚拟机ip] -Credential [虚拟机用户名],敲入密码,即可远程登录到虚拟机。然后将待调试的脚本放入虚拟机中,输入:psedit [虚拟机中的脚本路径],加载目标脚本。
7

远程调试分析

在关键代码处下断点,按下F5调试便可以运行到断点处,右侧则是变量的值,通过调试我们可以得知该段代码的作用是从http://miranda.tattooforsure.com:8888/admin/get.php读取恶意代码并执行。
8

VSCode远程调试也支持编辑脚本,可以新增一行代码:$payload = -JOIn [ChAr[]](& $R D a t a ( Data (

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
vscode-powershell, 为 Visual Studio 代码提供PowerShell语言和调试支持.zip
10-10
vscode-powershell, 为 Visual Studio 代码提供PowerShell语言和调试支持 用于 Visual Studio 代码的语言支持 这里扩展为 Visual Studio 代码提供了丰富的PowerShell语言支持。 现在你可以使用 Visual Studio 代码提供的优秀ide像接口那样编写和
vscode远程调试python_如何简单的使用vscode远程调试服务器端python代码
weixin_39787606的博客
11-26 475
前言寒假在家需要连接实验室的服务器远程调试代码。本来在实验室工位的话MobaXterm+pycharm是既方便又快速的选择,但是回到家里问题出现了。家里网速太不好了,使用pycharm异常的卡顿,再者也是因为我笔记本性能不好,难以在肉眼可见的卡顿的情况下开心的使用pycharm远程调试代码:-(所以我选择vscode来代替pycharm,vscode轻量级速度很快,且通过简单的插件配置就能链接远程...
【教程】vscode添加powershell7终端
Beihai_Van的博客
07-23 832
在这里设置为 “never”,意味着当你重新打开 VS Code 时,不会恢复先前的终端会话。说明: 指定在 Windows 上的默认集成终端配置文件为 “PowerShell 7”。这意味着当你打开新的终端时,VS Code 将默认使用 PowerShell 7。在这里,设置为 PowerShell 7 的路径,以便在自动化场景中使用。说明: 指定在 Windows 上打开外部终端时使用的可执行文件路径。在这里,创建了一个名为 “PowerShell 7” 的终端配置,指定其可执行文件路径为。
调试powershell
jackhuclan的专栏
07-08 428
{ // Use IntelliSense to learn about possible attributes. // Hover to view descriptions of existing attributes. // For more information, visit: https://go.microsoft.com/fwlink/?linkid=830387 "version": "0.2.0", "configurations": [
vscode--powershell,bash切换
knowledge_bird的博客
03-25 5471
VS code中power shell,bash的切换 在VS code中的设置 然后在搜索栏中输入power可以跳出一个选择的路径 将bash的路径输入(个人路径:D:\Git\bin\bash.exe)输入就可以切换成bash,VS code中默认自带的就是powershell,不喜欢bash的不用切换 一般计算机自带的powershell目录如下:C:\Windows\System32\...
VsCode远程调试c++
09-24 1984
1 WSL安装ubuntu18.04 或者直接连接远程的ubuntu服务器 windows10 安装WSL 参考文档: Install WSL | Microsoft Docs indows PowerShell 版权所有 (C) Microsoft Corporation。保留所有权利。 尝试新的跨平台 PowerShell https://aka.ms/pscore6 PS C:\Windows\system32> wsl -l -o 以下是可安装的有效分发的列表。 请使用“ws...
powershell脚本转exe文件
01-22
然而,PowerShell脚本默认在许多Windows计算机上是禁用的,因为它们可能包含潜在的恶意代码。为了确保脚本在不受信任的环境中安全运行,或者为了方便那些不熟悉PowerShell环境的用户,我们可能会选择将PowerShell...
VSCode远程访问Linux主机与远程调试
sinat_30208181的博客
04-30 1708
使用 VSCode 远程访问代码以及远程调试 本文的目标是搭建一个 Visual Studio Code 环境, 可以从 Windows 远程访问 Linux(我的服务器是CentOS以这个为例) 的 C/C++ 项目代码, 以及进行远程调试。 1. 首先准备以下软件与插件 在开发机器上: 安装最新版本的Visual Studio Code(下面简称VSCode),点击此处进入Visual Studio Code下载页面 安装 VSCode 扩展 “Remote Development”, 方法是左下角
Vscode 如何配置debug
热门推荐
liangkang233的博客
06-10 1万+
go语言与C/C++在vscode如何调试
vscode@powershellExtension配置和启用问题@powershell配置模块与脚本@运行脚本文件和程序@编写函数文档@调试脚本/别名模块@设置别名作用域
xuchaoxin1375的博客
11-20 1796
文章目录自动导入模块所在目录安装模块自动导入自定义添加您的模块目录path添加效果示例模块导入查询更多细节 自动导入模块所在目录 安装模块 创建基本 PowerShell 模块 创建模块清单 安装 PowerShell 模块 自动导入 关于自动导入,实际体验验上是指,您可以直接在终端中引用(通过模块中的(公开的)函数名称来调用某个函数 这些模块只有在被放置在$env:psModulePath下,同时符合一定的目录层析要求,才可以达到效果 如果你的模块文件组织的合乎规范,那么在调用相应函数后,模块才会显示的
解决vscodepowershell运行activate.ps1时,提示系统禁止运行脚本问题
有问题或资源连接有缺失的可以私信公众号新潮看世界获取
11-07 832
这个配置问题不在powershell的安装目录,而是在系统用户目录,具体目录咱们不用去看了。上次虽然使用一句设置解决了问题,但是因为使用比较频繁,加上运行调试都会出现问题,想着修改vscode配置文件来解决,但是,这个配置文件感觉很不友好,改来改去没成功。最终还是打算卸载本机的v1版本powershell,比较powershell已经有版本7了,系统自带的太旧了。结果还是因为权限问题,没能彻底解决问题。再次回到vscode,新建终端,选择具备venv的目录,powershell出现,问题不在了。
PowershellVSCode的集成配置
weixin_34290000的博客
04-23 5349
(一)在VSCode中安装PowerShell插件需要在VSCode插件中心中进行搜索安装,安装完成后如图。(二)修改VSCode的配置文件,增加对PowerShell的支持,比如字符集、智能感知等打开VSCode,选择文件——》首选项——》设置,然后选择设置界面右侧的花括号{}进行配置,需要增加的配置如下{"csharp.suppressDotnetRestoreNotif...
Visual Studio Code <1.71.1 权限提升漏洞
OSCS开源安全社区
09-15 308
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Visual Studio Code v1.71.0 及更早版本中存在权限提升漏洞,漏洞源于Visual Studio Code加载配置文件时会自动加载windows共享用户在特殊目录创建的文件bash.exe。Visual Studio Code检测到的配置文件会显示在终端配置文件列表中,可能导致恶意文件执行。Visual Studio Code是一款代码编辑器。
vscode打开linux脚本,使用 Visual Studio Code 进行远程编辑和调试
weixin_33600816的博客
05-10 308
使用 Visual Studio Code 进行远程编辑和调试Using Visual Studio Code for remote editing and debugging06/13/2019本文内容对于熟悉 ISE 的你来说,你可能还记得可以从集成控制台运行 psedit file.ps1 以在 ISE 中打开本地或远程文件。For those of you that are familia...
Python——使用vscode编写代码在powershell运行
apple_73959427的博客
12-01 2219
前言: 从这篇开始进行对python的学习,本次学习只需要三个工具:power shell、vscode以及python。 我们第一个任务是下载: 下载vscode与python,到对应官网下载即可(注:下载python时要将其添加到系统路径,记得勾选add选项) 下载完python后我们就可以开始写代码了,我选择使用vscode编写代码,是因为它功能强大,且使用用户多,如果使用不常用的编辑器,可能会出现此编辑器不更新或开发者放弃它的情况 创建第一个python程序: 在vscode创建我们的第
使用Vscode调试shell bash脚本 环境搭建基本步骤
helloasimo的博客
04-29 1万+
搭建vscode 编译 shell脚本 环境步骤
远程电脑执行Powershell脚本
最新发布
09-11
远程电脑执行PowerShell脚本通常是通过PowerShell远程会话功能来实现的。PowerShell支持使用WS-Management协议(WinRM)来建立远程会话,并且可以通过PowerShell远程功能来执行命令和脚本。以下是基本步骤: 1. 首先,需要在目标远程电脑上配置WinRM服务,设置为允许远程管理。 2. 然后,在本地电脑上,使用`Enter-PSSession`或`Invoke-Command`命令来建立与远程电脑的连接。 3. 一旦连接建立,就可以执行命令或者运行脚本。 例如,使用`Invoke-Command`命令远程执行脚本的命令格式如下: ```powershell Invoke-Command -ComputerName <远程电脑名> -FilePath <脚本文件路径> [-ArgumentList <参数列表>] [-Credential <凭据>] [-SessionOption <会话选项>] ``` 其中: - `<远程电脑名>`:要远程执行脚本的目标电脑名称或IP地址。 - `<脚本文件路径>`:本地或网络路径上的PowerShell脚本文件。 - `<参数列表>`:传递给脚本的参数。 - `<凭据>`:可选参数,用于指定用于远程会话的用户凭据。 - `<会话选项>`:可选参数,用于指定会话的配置选项。 请注意,远程执行脚本时,需要确保远程电脑配置了适当的网络权限和策略,以便允许远程连接和执行脚本
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值