一种基于Powershell脚本的去混淆方法
基本信息
| 申请号 | CN202011543327.5 | 申请日 | - |
| 公开(公告)号 | CN112464224A | 公开(公告)日 | 2021-03-09 |
| 申请公布号 | CN112464224A | 申请公布日 | 2021-03-09 |
| 分类号 | G06F21/53(2013.01)I;G06F21/56(2013.01)I | 分类 | 计算;推算;计数; |
| 发明人 | 胡建勋;徐根炜;刘元 | 申请(专利权)人 | 中科信息安全共性技术国家工程研究中心有限公司 |
| 代理机构 | - | 代理人 | - |
| 地址 | 100080北京市海淀区中关村大街19号新中关大厦B座北翼16层 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 一种基于Powershell脚本的去混淆方法包括对文档进行预处理,提供Office文档自动运行的虚拟环境,并将宏安全性降到最低;利用Hook机制将Powershell代码从文档内混淆过的代码中提取出来;根据文档内恶意Powershell的混淆特征获取原始Powershell。有益效果在于:该方法可以高效快速的提取恶意文档中嵌入的Powershell,获得原始的Powershell脚本,便于安全人员进一步深度分析,对攻击的溯源取证也有一定的贡献。 |
