PowerShell脚本类病毒分析

已于 2023-11-16 14:51:22 修改
阅读量3.3k 收藏 2
点赞数 1
分类专栏: Windows病毒分析 RootKit 文章标签: python
于 2020-11-12 15:51:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/109644191
版权
本文介绍了PowerShell作为恶意软件工具的原因,强调其在无文件攻击中的使用,如PowerGhost和MSASCMiner。讨论了PowerShell的参数、去混淆解密方法,包括Python在解密中的应用,并提供了调试技巧,如使用ISE和VSCode。还列举了一些常用的PowerShell命令和解密函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PowerShell介绍

Powershell 是早期一种VBScript的代替脚本语言,同时也是一种shell命令行执行窗口。微软最初出行PowerShell的原因是为管理员提供的自动化管理工具。在2016年中期,微软迈出了之前想都不会想的一步,完整开源了Windows PowerShell。

为什么要重视Powershell?
1.GUI无法带来效率上的提升。
2.其他脚本语言总是有种种缺憾。
3.越来越多的产品和Windows系统中组件已经采用PowerShell

现今的反病毒产品,对于检测磁盘上的恶意文件,是相当在行的;然而,要想检测到只存在于内存中的恶意代码,他们往往是事倍功半。内存的易失性、动态性,使得恶意软件很容易地改变形态;同时,可以自由地运行,无需顾忌任何反恶意技术的侦测。Powershell因其功能强大,而且无文件落地内存中执行,所以在无文件攻击中Powershell的攻击方式是非常流行的。例如:PowerGhost,2018年被发现使用Powershell无文件方式进行攻击感染的挖矿以及DDOS病毒。今年11月份深信服披露的MSASCMiner组织的挖矿病毒等等。

PowerShell的参数

在Windows cmd命令窗口中使用powershell -

了解本专栏 订阅专栏 解锁全文 超级会员免费看
无文件攻击与病毒样本分析-1-4-3-无文件攻击之恶意脚本Powershell
不忘初心,护天下安全!
07-15 1123
简要介绍无文件攻击中powershell的发力点
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
热门推荐
杨秀璋的专栏
10-28 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解。这篇文章将讲解Powershell基础入门知识,包括常见的用法,涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。Powershell被广泛应用于安全领域,甚至成为每一位Web安全必须掌握的技术。
1_VBA_POWERSHELL病毒分析
leibso的博客
03-17 2025
文章目录分析VBA_PS脚本: 样本信息: MD5 0bf87fd5ff555a5f0fc94b5e36f0d4ff 文件名称 0bf87fd5ff555a5f0fc94b5e36f0d4ff.doc 文件类型 Word文档 分析VBA_PS脚本: 原混淆代码: Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds A...
Powershell 挖矿病毒处理与防范
chuzha3064的博客
08-20 4018
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。 Powershell的挖矿病毒具备无文件攻击的高级威胁外,还具有两种横向传染机制,分别为WMIExec自动化爆破和MS17-010...
脚本命令类恶意代码——PowerShell混淆脚本分析方法
最新发布
信息安全
09-27 1491
由于PowerShell具有强大的系统管理和自动化能力,它可以被用于执行恶意代码、进行横向移动、执行无文件攻击等恶意行为。其中,Office宏病毒是一种常见的恶意软件形式,它利用Office文档中的宏代码来调用PowerShell并执行恶意行为。这种攻击方式通常会利用社会工程学手段来诱使用户启用宏代码,从而触发PowerShell的执行。此外,还有一种被称为"无文件攻击"的攻击技术,通过利用PowerShell的内存执行功能,无需在受感染系统上写入可执行文件,从而执行恶意行为而不留下明显的痕迹。
windows powershell脚本分类
05-13
Windows PowerShell脚本可以分为以下几类: 1. 系统管理脚本:用于管理Windows操作系统及其组件,例如安装程序、配置网络等。 2. 安全性脚本:用于确保系统安全性,例如检测病毒、防火墙配置等。 3. 数据库管理...
PowerShell脚本解混淆系统及检测方案.pdf
10-15
混淆是阻碍反病毒引擎有效检测和阻止恶意PowerShell脚本的主要障碍。混淆技术使得恶意代码变得难以理解,从而逃避传统的静态分析。例如,混淆后的样本在VirusTotal上的检测率明显下降,表明现有的反病毒引擎在面对...
脚本类恶意程序分析技巧汇总1
08-03
- 混淆的PowerShell脚本是为了防止分析,但可以通过多种技术进行反混淆,例如识别和解除编码、解密和转义序列。 **实战分析**: 在实战分析中,通常需要获取样本来源,分析样本的图标、字符串、入口点、编译器特征...
PS2EXE: PowerShell脚本转Windows可执行文件工具
PS2EXE是一个用于将PowerShell脚本转换为独立可执行文件的模块,提供了一个图形用户界面(GUI),允许用户通过简单的命令行开关来激活GUI输出和输入。该模块特别支持Powershell 5.x版本,并且通过图形前端增强了用户...
python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
weixin_39538451的博客
12-16 1436
一、关于powershell挖矿病毒在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU,通过百度确定该进程被植入了挖矿病毒,该病毒采用的是WMI+powershell的内存驻留方式实现无文件挖矿和横向感染。二、存在该病毒的现象机器卡顿,机器CPU使用较高,进程中发现powershell.exe占用c...
Windows PowerShell的安全目标——安全警报
Liu_Bruce的博客
01-04 1952
PowerShell是多么强大,但是也会突然意识到一个问题:这些已存在的强大功能会不会造成一些安全隐患?答案是”可能会“。
传播恶意软件最有效帮手:超95%的PowerShell脚本都是恶意脚本
weixin_34293141的博客
08-01 995
对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行工具。但赛门铁克最近的一份报告指出,超过95%的PowerShell脚本实际上都是恶意脚本。 赛门铁克在报告(传送门)中指出,绝大部分恶意PowerShell脚本都是扮演下载的角色。当然Power...
PowerShell脚本样本分析
人饭子的博客
11-06 656
PowerShell脚本样本分析 haidragon 安全狗的⾃我修养 2022-11-06 15:34 PowerShell脚本样本分析 该恶意⽂件为ACE压缩⽂件,内含4个jpg⽂件和⼀个PE⽂件,利⽤WinRAR漏洞(CVE2018-20250),诱使受害者解压⽂件触发漏洞释放PE⽂件到启动⽬录,等待计算机重启后⾃动执⾏。通过⾃启的PE⽂件,释放powershell脚本、vbs脚本,并写⼊...
PowerShell渗透--PowerSploit(WEB安全攻防)
小英雄颂人头
03-03 3200
PowerSploit是基于PowerShell的后渗透框架,包含很多PowerShell攻击脚本,主要用于渗透中的信息侦查,权限提升,权限维持,github地址为:github.com/PowerShellMafia/PowerSploit 安装 下载程序目录 git clone https://github.com/PowerShellMafia/PowerSploi...
PowerShell攻击指南
鸡蛋炒鸡蛋
03-03 6234
什么是powershell?可以简单理解为cmd.exe的扩展。powershell具有灵活性和功能化管理windows系统的能力,powershell脚本文件后缀名是.ps1(数字1)Windows PowerShell是一种命令行外壳程序和脚本环境,它内置在每个受支持的windows版本中,使命令行用户和脚本编写者可以利用.NET Framework的强大功能。
powershell杀软,EDR检测
test1988x的博客
01-09 713
地址:https://github.com/PwnDexter/Invoke-EDRChecker powershell导入模块 PS C:\Users\Invoke-EDRChecker> Import-Module .\Invoke-EDRChecker.ps1 PS C:\Users\Invoke-EDRChecker> Invoke-EDRChecker ...
通过机器学习来检测Powershell恶意行为
Ping_Pig的博客
08-12 864
讲在前面 国内外的各大厂商以及各类研究员多年来对在网络威胁中使用Powershell进行渗透的行为做了不同形式的报告,那么,为什么Poweshell在近几年的渗透中很受攻击中追捧呢,最大的特点就是Powershell的灵活性和丰富的功能使常规检测形同虚设。这篇文章在火眼(FireEye)的通过机器学习来检测Powershell恶意行为研究基础上进行部分修改后展示。 通过这篇文章,读者将会简单学习到: 为什么传统的“基于签名”或“基于规则”的检测引擎检测Powershell的威胁会遇到瓶颈 如何使用自
PowerShell渗透框架
weixin_62626298的博客
07-24 860
NET编程语言编写的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值