一種基于Powershell腳本的去混淆方法

基本信息

申請(qǐng)?zhí)?/td> CN202011543327.5 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN112464224A 公開(kāi)(公告)日 2021-03-09
申請(qǐng)公布號(hào) CN112464224A 申請(qǐng)公布日 2021-03-09
分類(lèi)號(hào) G06F21/53(2013.01)I;G06F21/56(2013.01)I 分類(lèi) 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 胡建勛;徐根煒;劉元 申請(qǐng)(專利權(quán))人 中科信息安全共性技術(shù)國(guó)家工程研究中心有限公司
代理機(jī)構(gòu) - 代理人 -
地址 100080北京市海淀區(qū)中關(guān)村大街19號(hào)新中關(guān)大廈B座北翼16層
法律狀態(tài) -

摘要

摘要 一種基于Powershell腳本的去混淆方法包括對(duì)文檔進(jìn)行預(yù)處理,提供Office文檔自動(dòng)運(yùn)行的虛擬環(huán)境,并將宏安全性降到最低;利用Hook機(jī)制將Powershell代碼從文檔內(nèi)混淆過(guò)的代碼中提取出來(lái);根據(jù)文檔內(nèi)惡意Powershell的混淆特征獲取原始Powershell。有益效果在于:該方法可以高效快速的提取惡意文檔中嵌入的Powershell,獲得原始的Powershell腳本,便于安全人員進(jìn)一步深度分析,對(duì)攻擊的溯源取證也有一定的貢獻(xiàn)。??