格式化操作符
{1}PSScriptRoot{0}..{0}PSVersionCompare.psd1-`F‘\’,’$’
函数替换
`(pZyPSScriptRoot\Add``-``LTUser.ps1).replace(``'pZy'``,’$’)`跟vbs去混淆的方法一样,了解函数及参数解释,结合echo打印函数,了解混淆原理,再反混淆就没有任何问题了。这里就不再举例了。
实战分析一个PowerShell挖矿病毒样本来源
接下来我们来实战分析一个powershell病毒,样本来源还是卡饭
我们来分析其中一个样本
实战分析
在第一行F9下断点,然后F5运行,程序断下
首先初始化了三个变量和一个对象,变量的值我们可以在控制窗口看到
接着调用DownloadFile方法从一个服务器地址下载一个exe到Temp目录下
接着自我复制到User目录下
接着将Temp目录下的yam文件再次拷贝一份 重命名为xe.exe
然后创建并删除计划任务
接着调用cmd命令对抗杀软
然后启动Temp目录下的xe.exe开始挖矿,后面的参数是矿池的启动参数
到此 这个powershell病毒就分析完成了
最后,附上相关文件 样本和工具 大家可以到我的Github下载,另外我会提供一份文章的pdf版,有需要的可以下载
参考资料
如何在 Windows PowerShell ISE 中调试脚本:
反编译python打包的exe文件:
宏病毒研究1——基础理论篇 :%3D1%26filter%3Dtypeid%26typeid%3D79
Powershell 代码反混淆技术研究:
--官方论坛
--推荐给朋友
来源:【九爱网址导航www.fuzhukm.com】 免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
