一種基于Powershell腳本的去混淆方法

基本信息

申請?zhí)?/td> CN202011543327.5 申請日 -
公開(公告)號 CN112464224A 公開(公告)日 2021-03-09
申請公布號 CN112464224A 申請公布日 2021-03-09
分類號 G06F21/53(2013.01)I;G06F21/56(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 胡建勛;徐根煒;劉元 申請(專利權(quán))人 中科信息安全共性技術(shù)國家工程研究中心有限公司
代理機(jī)構(gòu) - 代理人 -
地址 100080北京市海淀區(qū)中關(guān)村大街19號新中關(guān)大廈B座北翼16層
法律狀態(tài) -

摘要

摘要 一種基于Powershell腳本的去混淆方法包括對文檔進(jìn)行預(yù)處理,提供Office文檔自動(dòng)運(yùn)行的虛擬環(huán)境,并將宏安全性降到最低;利用Hook機(jī)制將Powershell代碼從文檔內(nèi)混淆過的代碼中提取出來;根據(jù)文檔內(nèi)惡意Powershell的混淆特征獲取原始Powershell。有益效果在于:該方法可以高效快速的提取惡意文檔中嵌入的Powershell,獲得原始的Powershell腳本,便于安全人員進(jìn)一步深度分析,對攻擊的溯源取證也有一定的貢獻(xiàn)。??