PowerShell脚本类病毒分析

已于 2023-11-16 14:51:22 修改
阅读量3k 收藏 2
点赞数 1
分类专栏: Windows病毒分析 RootKit 文章标签: python
于 2020-11-12 15:51:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/109644191
版权

PowerShell介绍

Powershell 是早期一种VBScript的代替脚本语言,同时也是一种shell命令行执行窗口。微软最初出行PowerShell的原因是为管理员提供的自动化管理工具。在2016年中期,微软迈出了之前想都不会想的一步,完整开源了Windows PowerShell。

为什么要重视Powershell?
1.GUI无法带来效率上的提升。
2.其他脚本语言总是有种种缺憾。
3.越来越多的产品和Windows系统中组件已经采用PowerShell

现今的反病毒产品,对于检测磁盘上的恶意文件,是相当在行的;然而,要想检测到只存在于内存中的恶意代码,他们往往是事倍功半。内存的易失性、动态性,使得恶意软件很容易地改变形态;同时,可以自由地运行,无需顾忌任何反恶意技术的侦测。Powershell因其功能强大,而且无文件落地内存中执行,所以在无文件攻击中Powershell的攻击方式是非常流行的。例如:PowerGhost,2018年被发现使用Powershell无文件方式进行攻击感染的挖矿以及DDOS病毒。今年11月份深信服披露的MSASCMiner组织的挖矿病毒等等。

PowerShell的参数

在Windows cmd命令窗口中使用powershell -h命令即可方便查看参数用处。
在这里插入图片描述
Powershell脚本类攻击经常用到的参数 :
Nologo 表示启动时隐藏版权标志
NoPr

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Powershell 挖矿病毒处理与防范
chuzha3064的博客
08-20 3850
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。 Powershell的挖矿病毒具备无文件攻击的高级威胁外,还具有两种横向传染机制,分别为WMIExec自动化爆破和MS17-010“...
python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
weixin_39538451的博客
12-16 1252
一、关于powershell挖矿病毒在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU,通过百度确定该进程被植入了挖矿病毒,该病毒采用的是WMI+powershell的内存驻留方式实现无文件挖矿和横向感染。二、存在该病毒的现象机器卡顿,机器CPU使用较高,进程中发现powershell.exe占用c...
针对cs生成powershell木马免杀火绒
最新发布
WenHeMian_的博客
06-02 357
第二种,Win-PS2EXE,对于ps2exe是打包python专门给win使用的,在其他篇章中会用此来打包python的免杀脚本。心跳0s, byassUac提权成功,但是要谨慎提权!对于函数名和变量名进行混淆,不要用原始名,因为都被人用烂了,360云脑,windows df直接杀。第一种Lodan,玩内网的肯定都很熟悉,这东西其实在cs插件Lodan的目录里面就有LodanGUI。注意我这里是x64的木马,与x86不同的就是代码结构,免杀手法相同。火绒这个东西,只要一开始不报毒,那以后基本很难被杀了。
Windows PowerShell的安全目标——安全警报
Liu_Bruce的博客
01-04 1621
PowerShell是多么强大,但是也会突然意识到一个问题:这些已存在的强大功能会不会造成一些安全隐患?答案是”可能会“。
powershell杀软,EDR检测
test1988x的博客
01-09 594
地址:https://github.com/PwnDexter/Invoke-EDRChecker powershell导入模块 PS C:\Users\Invoke-EDRChecker> Import-Module .\Invoke-EDRChecker.ps1 PS C:\Users\Invoke-EDRChecker> Invoke-EDRChecker ...
1_VBA_POWERSHELL病毒分析
leibso的博客
03-17 1849
文章目录分析VBA_PS脚本: 样本信息: MD5 0bf87fd5ff555a5f0fc94b5e36f0d4ff 文件名称 0bf87fd5ff555a5f0fc94b5e36f0d4ff.doc 文件类型 Word文档 分析VBA_PS脚本: 原混淆代码: Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds A...
通过机器学习来检测Powershell恶意行为
Ping_Pig的博客
08-12 709
讲在前面 国内外的各大厂商以及各类研究员多年来对在网络威胁中使用Powershell进行渗透的行为做了不同形式的报告,那么,为什么Poweshell在近几年的渗透中很受攻击中追捧呢,最大的特点就是Powershell的灵活性和丰富的功能使常规检测形同虚设。这篇文章在火眼(FireEye)的通过机器学习来检测Powershell恶意行为研究基础上进行部分修改后展示。 通过这篇文章,读者将会简单学习到: 为什么传统的“基于签名”或“基于规则”的检测引擎检测Powershell的威胁会遇到瓶颈 如何使用自
脚本类恶意程序分析技巧汇总1
08-03
- 混淆的PowerShell脚本是为了防止分析,但可以通过多种技术进行反混淆,例如识别和解除编码、解密和转义序列。 **实战分析**: 在实战分析中,通常需要获取样本来源,分析样本的图标、字符串、入口点、编译器特征...
PowerShell脚本解混淆系统及检测方案.pdf
10-15
混淆是阻碍反病毒引擎有效检测和阻止恶意PowerShell脚本的主要障碍。混淆技术使得恶意代码变得难以理解,从而逃避传统的静态分析。例如,混淆后的样本在VirusTotal上的检测率明显下降,表明现有的反病毒引擎在面对...
BAT批处理脚本-垃圾清理清除-Autorun 病毒清除工具.zip
12-26
因此,对于这类病毒的清理,了解批处理脚本的基本原理和编写技巧至关重要。 批处理脚本主要基于DOS命令行,其中常见的命令包括: 1. `DEL` 或 `RD`: 用于删除文件或目录,例如 `DEL /F /Q %SystemRoot%\system32\*...
AUTO病毒专杀脚本
05-05
这类脚本通常由IT专家编写,包含一系列的命令行工具和脚本语言(如批处理脚本PythonPowerShell等),用于扫描U盘内容,识别并清除恶意文件,特别是autorun.inf文件和其他可能的病毒隐藏点。 在使用" AUTO病毒...
360杀毒隔离内网病毒库升级更新处理脚本
09-14
脚本通常由批处理语言(如Windows的批处理命令)或脚本语言(如PythonPowerShell)编写,它可以自动下载最新病毒库文件,并在内网环境中进行分发和安装。脚本的运作流程可能包括以下步骤: 1. **验证网络连接**:...
无文件攻击与病毒样本分析-1-4-3-无文件攻击之恶意脚本Powershell
不忘初心,护天下安全!
07-15 991
简要介绍无文件攻击中powershell的发力点
PowerShell攻击指南
鸡蛋炒鸡蛋
03-03 3979
什么是powershell?可以简单理解为cmd.exe的扩展。powershell具有灵活性和功能化管理windows系统的能力,powershell脚本文件后缀名是.ps1(数字1)Windows PowerShell是一种命令行外壳程序和脚本环境,它内置在每个受支持的windows版本中,使命令行用户和脚本编写者可以利用.NET Framework的强大功能。
记录一次和powershell病毒的战斗
satanaaa的博客
11-22 3802
背景 因为单位域策略原因, 电脑安装了火绒杀毒软件;之前一直用的好好的; 近期忽然一直报木马病毒; 战斗过程 和谐相处时间 刚开始还真没把它当回事; 首先工作几年后,那种看不得电脑里有任何脏东西的洁癖渐渐没有了, 再者本身公司的上网小助手就是一个穿着羽绒服的病毒; 杀软报点异常也没啥大惊小怪的;(这时候我甚至连病毒路径都没详细看) 最后毕竟不是自己的电脑,平时感觉不到资源占用,也没影响我正常使用...
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
热门推荐
杨秀璋的专栏
10-28 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解。这篇文章将讲解Powershell基础入门知识,包括常见的用法,涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。Powershell被广泛应用于安全领域,甚至成为每一位Web安全必须掌握的技术。
揭开PowerShell编码攻击的神秘面纱
iqifenxia的博客
01-02 666
     翻译:興趣使然的小胃   稿费:200RMB(不服你也来投稿啊!)   投稿方式:发送邮件至linwei#360,或登陆网页版在线投稿   一、前言   在过去的几年中,随着框架不断完善成熟,PowerShell也在不断获得人们的关注和欢迎,因此,在攻击行动中越来越多地看到PowerShell的身影也就不足为奇了。PowerShell为攻击者提供了系统各种原生功能支持,通过快速查看PowerShell恶意工具的泛滥形势,你可以对此类工具的增长态势有个整体了解。   微软对高版本..
powershell脚本分类
05-13
PowerShell脚本可以按照其用途分类,以下是一些常见的分类: 1. 管理脚本:用于管理系统、应用程序和网络资源,例如创建、删除、修改和监视用户帐户、文件和文件夹、服务、进程等。 2. 自动化脚本:用于自动执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值