[网络安全提高篇] 一二九.Powershell恶意代码检测 (5)混淆和反混淆 [上]

最新推荐文章于 2025-05-19 11:56:00 发布
最新推荐文章于 2025-05-19 11:56:00 发布
阅读量357 收藏 2
点赞数 1
分类专栏: 网络安全自学篇 文章标签: web安全 Powershell 混淆 解混淆
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Eastmount/article/details/123621125
版权

2024新的战场,继续奋斗。 “网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。换专业确实挺难的,Web渗透也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

前文介绍了如何利用MS Defender实现恶意样本家族批量标注。这篇文章将继续讲解Powershell恶意代码检测,主要包括PowerShell混淆与反混淆内容,首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法,再结合PowerDecode工具阐述解混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续,基础性文章,希望您喜欢,且看且珍惜。

文章目录

作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力

了解本专栏 订阅专栏 解锁全文
[网络安全提高] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这文章将详细讲PowerShellPowershell恶意代码检测总结及抽象语法树(AST)提取。希望这文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2603
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
powershell脚本编写_病毒分析学习笔记:powershell反混淆
weixin_39631370的博客
12-21 2943
本文为看雪论坛精华文章看雪论坛作者ID:OK繃目录一、前言二、自动化反混淆 混淆原理 自动化反混淆工具三、手动反混淆四、总结一、前言Windows PowerShell 是一种命令行外壳程序脚本环境,使命令行用户脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念,从而进一步扩展了您在 Windo...
记一次Powershell反混淆 (1)
weixin_30896763的博客
03-16 747
样本地址: https://www.virustotal.com/#/file/6f9034646e6fcead5342f708031412e3c2efdb4fb0f37bba43133a471d1cb0e0/detection 样本为一个Word文件,嵌入Macros,寻找命令执行点比较简单, 稍微跟了一下直接定位到 Sub SssbuNrRrEn(UJXYrqZETb As String) O...
[论文阅读] (17)CCS2019 针对PowerShell脚本的轻量级去混淆语义感知攻击检测(经典)
杨秀璋的专栏
03-25 5382
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一总结了Powershell恶意代码检测相关研究,并结合开源工具分享抽象语法树提取过程。这文章将详细讲CCS2019的Powershell混淆工作,这文章质量非常高,来自于浙江大学的李振源老师。我将从他在InforSec分享的视频论文原文阅读两个方面进行讲。希望这文章对您有所帮助,深知自己很菜,通过这种最笨分享来提升记录,欢迎大家批评指正。这些大佬是真的值得我们去学习,献上小弟的膝盖~
脚本命令类恶意代码——PowerShell混淆脚本分析方法
信息安全
09-27 1492
由于PowerShell具有强大的系统管理自动化能力,它可以被用于执行恶意代码、进行横向移动、执行无文件攻击等恶意行为。其中,Office宏病毒是一种常见的恶意软件形式,它利用Office文档中的宏代码来调用PowerShell并执行恶意行为。这种攻击方式通常会利用社会工程学手段来诱使用户启用宏代码,从而触发PowerShell的执行。此外,还有一种被称为"无文件攻击"的攻击技术,通过利用PowerShell的内存执行功能,无需在受感染系统上写入可执行文件,从而执行恶意行为而不留下明显的痕迹。
[网络安全自学] 八十七.恶意代码检测技术详及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这文章将详细总结恶意代码检测技术,包括恶意代码检测的对象策略、特征值检测技术、校验检测技术、启发式扫描技术、虚拟机检测技术主动防御技术。基础性文章,希望对您有所帮助~
[系统安全] 六十三.Powershell恶意代码检测系列 (6) 混淆反混淆 [上]
杨秀璋的专栏
04-09 704
前文探索了利用大模型辅助恶意代码分析,尝试进行恶意代码家族分类实验。这文章将继续讲Powershell恶意代码检测,主要包括PowerShell混淆反混淆内容,首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法,再结合PowerDecode工具阐述混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续,基础性文章,还请各位大佬多多指教,写得不足的地方还请海涵。希望您喜欢,且看且珍惜。
[网络安全自学] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界学术界分别详细讲恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客论文都比较少,希望这文章对您有所帮助,如果文章中存在错误或理不到位的地方,还请告知作者与海涵~
混淆脚本!反混淆神器CyberChef使用指南
weixin_50464560的博客
08-19 2万+
CyberChef是一款强大的编码转换器,集成了多种编码转换的功能,能辅助大家方便快捷地密出恶意脚本。 概述CyberChef是一款强大的编码转换器,地址在:https://gchq.github.io/CyberChef/它简单易懂易上手,集成了多种编码转换的功能,如:base64加密、hex转换、char转换、正则表达式等,能辅助大家方便快捷地密出恶意脚本。其界面如下图,最左边的Operations是转换工具集,把挑选好的工具经过DIY组合及排序拖拽到Recipe中,就可以对Input中的字符串
记一次powershell反混淆(2)
weixin_30342827的博客
03-30 686
样本地址 https://www.hybrid-analysis.com/sample/4b4b8b13c264c8f7d7034060e0e4818a573bebc576a94d7b13b4c1741591687f?environmentId=100# 样本使用ConvertTo-SecureString加密字符串。 代码 powershell "([RUNTiME.iNTeRopsErV...
PowerShield反混淆初探
chengg0769 平淡无奇见真知
03-22 5507
经过对PowerShield1.0简易版用各种混淆复杂度进行研究,总结两点:1. PowerShield混淆加密对软件的保护微乎其微;因为基于东躲西藏的思路,不是可靠的加密方式;2. 经过一周的仔细分析研究,包括在pbdecomplier的增加对反混淆的编程时发现,PowerShield是很容易去掉冗余的跳转指令,并归并整理还原成普通编译后的代码形式,从而再用以前开发的编译器就能轻
网络安全-等级保护(等保) 2-7-1 GB/T 25058—2019 第5章 等级保护对象定级与备案
项目管理到售前,一路成长的伙伴!
05-19 536
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员产品经理)个人见说明:行业/领域定级工作,主要是各个行业/领域的主管部门制定,比如电力、金融等行业都有单独发布等级保护的要求,通用等级保护要求有一定差异,会根据本行业的业务特性进行制定。GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》
网络安全-等级保护(等保) 2-7-2 GB/T 25058—2019 第6章 总体安全规划
项目管理到售前,一路成长的伙伴!
05-19 1176
等。
网络安全-等级保护(等保) 2-7-4 GB/T 25058—2019 第8章 安全运行与维护 第9章 定级对象终止
最新发布
项目管理到售前,一路成长的伙伴!
05-19 1214
根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制内容,并以此定义不同运行管 理角色的职责。
Web安全核心内容与常见漏洞总结
weixin_47389477的博客
05-14 499
启用 ‌Content Security Policy(CSP)‌ 限制脚本加载源,阻断 XSS 攻击链。使用参数化查询(Prepared Statements)防御 SQL 注入。对用户输入进行严格校验(如正则表达式匹配),过滤特殊字符(如。输出数据时进行 HTML 实体编码,避免 XSS 攻击。实现细粒度权限管理(如 RBAC 模型),避免越权操作。部署 ‌Web 应用防火墙(WAF)‌ 过滤恶意流量。使用 SSL/TLS 加密数据传输,防止中间人攻击6。强制使用多因素认证(MFA)提升账户安全性。
网络安全利器:蜜罐技术详
TechEnthusiast的博客
05-18 408
蜜罐(Honeypot)是一种安全资源,其价值在于被探测、攻击或未经授权使用。简单来说,蜜罐就是一个诱饵系统,用来吸引黑客的注意力,使其免于攻击真实的目标系统。fill:#333;color:#333;color:#333;fill:none;诱骗监控攻击者蜜罐虚拟系统真实系统收集攻击数据分析威胁蜜罐技术作为网络安全防御体系中的重要组成部分,为组织提供了主动防御威胁情报收集的有力工具。随着网络攻击手段的不断演进,蜜罐技术也在持续发展,以应对新的安全挑战。
Python脚本实现对恶意软件代码的自动化反混淆
为了对抗恶意软件,安全专家们开发出了各种检测清除工具,其中,反混淆(Deobfuscation)技术是重要一环。反混淆是指将被混淆代码还原成原始代码的过程,这对于分析恶意软件的行为至关重要。 Python作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值