脚本代码大全 脚本类恶意程序分析技巧汇总

11/28 08:24:28 来源网站:辅助卡盟网

格式化操作符

{1}PSScriptRoot{0}..{0}PSVersionCompare.psd1-`F‘\’,’$’

函数替换

`(pZyPSScriptRoot\Add``-``LTUser.ps1).replace(``'pZy'``,’$’)`

跟vbs去混淆的方法一样,了解函数及参数解释,结合echo打印函数,了解混淆原理,再反混淆就没有任何问题了。这里就不再举例了。

实战分析一个PowerShell挖矿病毒样本来源

接下来我们来实战分析一个powershell病毒,样本来源还是卡饭

我们来分析其中一个样本

实战分析

在第一行F9下断点,然后F5运行,程序断下

首先初始化了三个变量和一个对象,变量的值我们可以在控制窗口看到

接着调用DownloadFile方法从一个服务器地址下载一个exe到Temp目录下

接着自我复制到User目录下

接着将Temp目录下的yam文件再次拷贝一份 重命名为xe.exe

然后创建并删除计划任务

接着调用cmd命令对抗杀软

然后启动Temp目录下的xe.exe开始挖矿,后面的参数是矿池的启动参数

到此 这个powershell病毒就分析完成了

最后,附上相关文件 样本和工具 大家可以到我的Github下载,另外我会提供一份文章的pdf版,有需要的可以下载

参考资料

如何在 Windows PowerShell ISE 中调试脚本:

反编译python打包的exe文件:

宏病毒研究1——基础理论篇 :%3D1%26filter%3Dtypeid%26typeid%3D79

Powershell 代码反混淆技术研究:

--官方论坛

--推荐给朋友

来源:【九爱网址导航www.fuzhukm.com】 免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

    暂无相关资讯
脚本代码大全 脚本类恶意程序分析技巧汇总