33、基于Transformer的PowerShell脚本反混淆技术

最新推荐文章于 2025-06-23 09:34:26 发布
最新推荐文章于 2025-06-23 09:34:26 发布
阅读量74 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 神经信息处理前沿:ICONIP 2022精华 文章标签: Transformer PowerShell 反混淆
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/grpc6streamer/article/details/149522656

基于Transformer的PowerShell脚本反混淆技术

1. 背景与问题提出

在安全漏洞事件中,安全专家团队需要对受影响机器上发生的情况进行调查。其中,对混淆脚本进行反混淆是一项关键任务。攻击者常使用各种混淆器对脚本进行处理,生成的代码具有高度随机性,这使得手动编写反混淆算法变得极为困难,因为防御团队往往缺乏关于混淆器及其执行配置的详细信息。

2. 相关工作
  • PSDEM方法 :由Liu等人在2018年提出,用于处理恶意Microsoft Word文档中的PowerShell代码。该方法通过一系列堆叠算法,依次提取Base64编码命令、解码(若使用ASCII编码)、拼接拆分字符串、移除无关字符以及反转数据操作等。但该方法复杂且难以维护,若混淆工具引入新的编码方式,需手动调整算法。
  • PowerDrive :Ugarte等人开发的多阶段反混淆器。通过正则表达式清理混淆脚本、移除反调试检查、覆盖部分内置PowerShell方法,并执行可疑脚本来获取所联系的URL信息。
  • 基于AST的方法 :Li等人提出,先使用子树识别可恢复的混淆脚本片段,再在仿真阶段进行反混淆。通过选择脚本片段的熵、令牌长度、AST类型分布或AST深度等特征,将特征向量传递给分类器进行混淆检测。成功检测后,在沙箱化的PowerShell会话中运行可疑脚本进行恢复。然而,该方法存在安全风险且处理速度慢,同时不能简化所有表达式。

这些相关方法与本文提出的解决方案差异较大,且缺乏通用的评估方案,难以进行公平的

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
[系统安全] 六十二.恶意软件分析 (13)LLM赋能实现基于机器学习的恶意家族分类(初探)
杨秀璋的专栏
02-02 1444
前文探索了利用大模型辅助恶意代码分析,即LLM赋能Lark工具提取XLM代码的抽象语法树。这篇文章将继续尝试探索利用大模型辅助恶意代码分析,尝试进行恶意代码家族分类实验。在恶意代码分析过程中,大家会遇到各种各样的问题,如何结合LLM和GPT完成复杂任务,更好地为安全工程师合作至关重要。基础性探索文章,还请各位大佬多多指教,写得不足的地方还请海涵。希望您喜欢,且看且珍惜。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6539
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
34、网络安全领域的两大关键技术脚本反混淆与后门攻击增强
grpc6streamer的博客
06-23 24
本文探讨了网络安全领域的两项关键技术:恶意PowerShell脚本反混淆技术和深度神经网络后门攻击增强技术。前者采用字符级Transformer模型实现全自动、高效的脚本反混淆,恢复准确率达92%;后者通过标签平滑和激活抑制策略增强后门攻击的隐蔽性和可持续性,有效绕过先进防御机制。文章还深入分析了技术原理、实验验证结果及未来发展趋势,为应对日益复杂的网络威胁提供了创新思路和解决方案。
32、基于GPT的命名实体识别(NER)数据多样化与高质量增强及PowerShell脚本反混淆研究
grpc6streamer的博客
06-21 74
本博客介绍了基于GPT的命名实体识别(NER)数据增强模型DHQDA,该模型通过生成多样化和高质量的数据有效提升了NER任务的模型性能,并在多个数据集上验证了其稳定性和有效性。同时,博客还探讨了基于TransformerPowerShell脚本反混淆方法,该方法能够高效恢复混淆脚本内容,具有高度的自动化和泛化能力。博客进一步分析了两种技术的优势,并提出了未来的研究方向,包括将DHQDA扩展到其他序列标注任务以及优化反混淆技术以应对更复杂的网络安全挑战。
探秘Chimera:绕过安全防护的PowerShell代码混淆利器
gitblog_00031的博客
05-14 534
探秘Chimera:绕过安全防护的PowerShell代码混淆利器 在网络安全的世界里,总有那么一些工具,它们的存在既是对安全挑战的回应,也是对技术创新的致敬。Chimera就是这样一款工具,它是一款专门设计用来绕过AMSI(Antivirus Message Signaling Interface)和杀毒软件的PowerShell代码混淆脚本。通过字符串替换和变量拼接等手段,Chimera让恶...
2022年总结:感谢十二年的陪伴——分享回归,不忘初心(Eastmount博客总结及未来规划)
热门推荐
杨秀璋的专栏
05-29 1万+
曾记否,2021年4月28日,为了更好地从事科研和学习,当时给所有读者群发了我在优快云唯一的私信,感谢大家十年的陪伴,短暂消失,不负青春。当时也收到了很多博友的鼓励与祝福,感恩。转眼,部分重要的事情将要完成,作者的分享也将逐渐回归,仅以此文感谢读者十二年的陪伴和支持,感谢分享路上所有师长、家人、同学、朋友、博友和读者的陪伴及鼓励。同时,这篇文章将总结和归档作者这些年的博客专栏,并描述未来将要分享的技术和方向。
Large Language Models in Cybersecurity: State-of-the-Art
m0_64764193的博客
10-30 1048
本文考察了现有文献,对网络安全领域内大模型的防御和对抗应用进行了全面的描述。通过评估进攻性和防御性应用程序,给读者提供大模型驱动下网络安全相关的潜在风险和机会的全面了解。
2023级网络安全岗面试题及面试经验分享
黑战士的博客
02-25 7379
在当今社会网络安全行业越来越发达,也有越来越多的人去学习,为了更好地进行工作,除了学好知识外还要应对企业的面试。 所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。 一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享~ 写在前面 个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历 => 因此对于自己的项目,面试前建议做一次复盘,最好能用文字描述出细节
2025年渗透测试面试题总结-匿名[实习]安全工程师(大厂)(题目+回答)
soc的博客
05-26 753
安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
Feigong,针对各种情况自由变化的mysql注入脚本,In view of the different things freely change the mysql injection scrip
最新发布
12-17
下载前可以先看下教程 https://pan.quark.cn/s/90f2470d331b Feigong --非攻 rm... 最近有了新的体验...Feigong 2.0loading....
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
12-17
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
理光 MP7503 MP6503 MP9003 维修手册p
12-17
理光 MP7503 MP6503 MP9003 维修手册p
【电子测试设备】基于USB-TMC协议的SPD3000系列直流稳压电源固件升级方法:通过EasyPower软件实现.ugf文件更新操作指导
12-17
内容概要:本文介绍了鼎阳直流稳压电源SPD3000系列的固件升级方法,通过PC端管理软件EasyPower和USBTMC连接实现。升级过程包括:安装EasyPower软件并建立与电源设备的USB连接,在软件界面中选择“版本”菜单下的“升级”选项,进入固件升级对话框后选择扩展名为.ugf的固件文件,确认后点击“升级”按钮开始更新。升级过程中需等待进度条完成,结束后重启设备即可正常使用。文中配有操作界面图示,详细展示了各步骤的操作位置和流程。; 适合人群:电子工程师、技术支持人员及具备基本仪器操作经验的实验室技术人员;适用于需要维护或更新SPD3000系列电源设备固件的专业用户。; 使用场景及目标:①当设备功能异常或需要新增功能时进行固件升级;②配合最新版EasyPower软件确保设备兼容性和稳定性;③提升设备性能或修复已知问题。; 阅读建议:在执行升级前请确保正确安装驱动和软件,并使用官方提供的.ugf格式固件文件,避免升级失败。操作过程中保持设备供电稳定,切勿中断升级流程,以防设备损坏。
米游社每日米游币自动化脚本
12-17
源码地址: https://pan.quark.cn/s/d1f41682e390 miyoubiAuto 米游社每日米游币自动化Python脚本(务必使用Python3) 8更新:更换cookie的获取地址 注意:禁止在B站、贴吧、或各大论坛大肆传播! 作者已退游,项目不维护了。 如果有能力的可以pr修复。 小引一波 推荐关注几个非常可爱有趣的女孩! 欢迎B站搜索: @嘉然今天吃什么 @向晚大魔王 @乃琳Queen @贝拉kira 第三方库 食用方法 下载源码 在Global.py中设置米游社Cookie 运行myb.py 本地第一次运行时会自动生产一个文件储存cookie,请勿删除 当前仅支持单个账号! 获取Cookie方法 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 按刷新页面,按下图复制 Cookie: How to get mys cookie 当触发时,可尝试按关闭,然后再次刷新页面,最后复制 Cookie。 也可以使用另一种方法: 复制代码 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 控制台粘贴代码并运行,获得类似的输出信息 部分即为所需复制的 Cookie,点击确定复制 部署方法--腾讯云函数版(推荐! ) 下载项目源码和压缩包 进入项目文件夹打开命令行执行以下命令 xxxxxxx为通过上面方式或取得米游社cookie 一定要用双引号包裹!! 例如: png 复制返回内容(包括括号) 例如: QQ截图20210505031552.png 登录腾讯云函数官网 选择函数服务-新建-自定义创建 函数名称随意-地区随意-运行环境Python3....
《CentOS服务器环境搭建实战项目在毕业设计方面的应用-从零部署到高可用Web服务》.docx
12-17
内容概要:本文围绕《CentOS服务器环境搭建实战项目在毕业设计方面的应用——从零部署到高可用Web服务》,系统讲解了如何基于CentOS Stream 9搭建可复现、可答辩、可扩展的服务端原型,涵盖基础设施即代码(IaC)、安全配置(SELinux/Firewalld)、高性能Web架构(Nginx + uWSGI + Flask)、HTTPS加密(Let’s Encrypt)及监控体系(Prometheus + Grafana)等核心技术。通过Ansible自动化部署、Flask应用开发与Nginx反向代理配置,结合真实代码案例,帮助学生在4~6周内完成具备真实实验数据支撑的毕业设计。; 适合人群:计算机、软件工程、大数据、人工智能等专业的应届本科或研究生毕业生,具备Linux基础和基本编程能力者优先。; 使用场景及目标:①用于构建高并发博客、深度学习推理平台或边缘计算网关等毕业设计课题;②实现在论文中展示自动化部署、性能优化、安全加固和监控可视化等关键技术环节,提升答辩说服力与学术可信度;③支持HTTPS、缓存加速、服务监控等功能集成,满足“可复现、可扩展”的科研要求。; 阅读建议:建议结合文中提供的目录结构、Ansible脚本、Flask应用代码和Nginx模板进行动手实践,重点关注IaC思想与实验数据采集方法,并将关键配置截图和性能图表直接嵌入论文,增强论证真实性与技术深度。
EI复现基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理(Matlab代码实现)
12-17
【EI复现】基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理(Matlab代码实现)
【Scrapy 爬虫 + 多平台】实战 15 类网站爬取,落地即用无套路!.zip
12-17
【Scrapy 爬虫 + 多平台】实战 15 类网站爬取,落地即用无套路!.zip
(45页PPT)德国宝沃汽车集团公关与社会化媒体年度品牌传播策略方案45.pptx
12-17
(45页PPT)德国宝沃汽车集团公关与社会化媒体年度品牌传播策略方案45.pptx
2025-2031全球与中国矢量网络分析设备市场现状及未来发展趋势.pdf
12-17
2025-2031全球与中国矢量网络分析设备市场现状及未来发展趋势.pdf
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值