mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
a
This commit is contained in:
mether049
GitHub
parent
b15e979e5c
commit
26e7d9ce7c
@ -97,9 +97,11 @@ to do...
|
|||||||
[Invoke-Obfuscation](https://github.com/danielbohannon/Invoke-Obfuscation)
|
[Invoke-Obfuscation](https://github.com/danielbohannon/Invoke-Obfuscation)
|
||||||
- Powershell Script内で用いられる難読化技術について
|
- Powershell Script内で用いられる難読化技術について
|
||||||
### case-insesitive
|
### case-insesitive
|
||||||
- コマンドレットや変数を大文字,小文字を混ぜる
|
- コマンドレッ名や変数名に大文字,小文字を混ぜる
|
||||||
- PowerShellでは区別されない
|
- PowerShellでは区別されない
|
||||||
> INvOke-eXpReSsiOn
|
```
|
||||||
|
INvOke-eXpReSsiOn
|
||||||
|
```
|
||||||
### alias
|
### alias
|
||||||
- コマンドのエイリアスを用いる
|
- コマンドのエイリアスを用いる
|
||||||
- エイリアスの確認方法
|
- エイリアスの確認方法
|
||||||
@ -109,19 +111,19 @@ get-alias iex #iexのエイリアス(Invoke-Expression)の確認
|
|||||||
```
|
```
|
||||||
- よく利用されるエイリアス
|
- よく利用されるエイリアス
|
||||||
```
|
```
|
||||||
iex -> Invoke-Expression<br>
|
iex -> Invoke-Expression
|
||||||
sal -> Set-Alias
|
sal -> Set-Alias
|
||||||
```
|
```
|
||||||
- エイリアスの設定
|
- エイリアスの設定
|
||||||
```
|
```
|
||||||
set-alias <Name> <Value><br>
|
set-alias <Name> <Value>
|
||||||
sal ping iex
|
sal ping iex
|
||||||
```
|
```
|
||||||
### dot expression and amp expression(Invoke-Expression)
|
### dot expression and amp expression(Invoke-Expression)
|
||||||
- 文字列で表現されたコマンドレットを実行
|
- 文字列で表現されたコマンドレットを実行
|
||||||
```
|
```
|
||||||
.("get-alias")<br>
|
.("get-alias")
|
||||||
&('gal')<br>
|
&('gal')
|
||||||
iex("GeT-AliAs")
|
iex("GeT-AliAs")
|
||||||
```
|
```
|
||||||
### Combining characters
|
### Combining characters
|
||||||
@ -132,12 +134,12 @@ iex("GeT-AliAs")
|
|||||||
### Backticks
|
### Backticks
|
||||||
- コマンドレットや変数にバッククォートを挿入
|
- コマンドレットや変数にバッククォートを挿入
|
||||||
```
|
```
|
||||||
\`i\`e\`x("\`gal \`gal")
|
`i`e`x("`gal `gal")
|
||||||
```
|
```
|
||||||
### Split method
|
### Split method
|
||||||
- 文字列の分割
|
- 文字列の分割
|
||||||
```
|
```
|
||||||
'bob@alice'.split('@') -> bob alice<br>
|
'bob@alice'-split('@') -> bob alice
|
||||||
'bob@alice' -split '@' -split "i" -> bob al ce
|
'bob@alice' -split '@' -split "i" -> bob al ce
|
||||||
```
|
```
|
||||||
### Join method
|
### Join method
|
||||||
@ -148,7 +150,7 @@ iex("GeT-AliAs")
|
|||||||
### Concatenation operations
|
### Concatenation operations
|
||||||
- 文字列の並べ替えおよび連結
|
- 文字列の並べ替えおよび連結
|
||||||
```
|
```
|
||||||
"{1} {0}" -f "Alice","Bob" -> Bob Alice<br>
|
"{1} {0}" -f "Alice","Bob" -> Bob Alice
|
||||||
"{1} {0}" -f "Alice",("{1}{2}{0}" -f "b","B","o") -> Bob Alice
|
"{1} {0}" -f "Alice",("{1}{2}{0}" -f "b","B","o") -> Bob Alice
|
||||||
```
|
```
|
||||||
### No Space
|
### No Space
|
||||||
@ -164,14 +166,14 @@ iex("GeT-AliAs")
|
|||||||
### $ENV variable
|
### $ENV variable
|
||||||
- 環境変数の値を文字列の作成等に利用
|
- 環境変数の値を文字列の作成等に利用
|
||||||
```
|
```
|
||||||
.(\$seLLId[1]+\$shEllId[13]+'x') -> .(iex)<br>
|
.($seLLId[1]+$shEllId[13]+'x') -> .(iex)
|
||||||
&($EnV:cOmSpEc[4,15,25]-JOIN'') -> &(iex)
|
&($EnV:cOmSpEc[4,15,25]-JOIN'') -> &(iex)
|
||||||
```
|
```
|
||||||
### Encode
|
### Encode
|
||||||
- xor
|
- xor
|
||||||
- 文字,16進数,10進数等で指定可能
|
- 文字,16進数,10進数等で指定可能
|
||||||
```
|
```
|
||||||
10-bxor"10" -> 0<br>
|
10-bxor"10" -> 0
|
||||||
"0xa"-bxor10 -> 0
|
"0xa"-bxor10 -> 0
|
||||||
```
|
```
|
||||||
- base64
|
- base64
|
||||||
@ -184,12 +186,12 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
|||||||
```
|
```
|
||||||
- unicode
|
- unicode
|
||||||
```
|
```
|
||||||
\[System.Text.Encoding]::Unicode.GetString($unicodeBytes)
|
[System.Text.Encoding]::Unicode.GetString($unicodeBytes)
|
||||||
```
|
```
|
||||||
### Ascii code
|
### Ascii code
|
||||||
- 文字などをasciiコードの10進数,16進数表記で示す
|
- 文字などをasciiコードの10進数,16進数表記で示す
|
||||||
```
|
```
|
||||||
[string]\[char[]](0x69,0x65,0x58) -> i e X
|
[string][char[]](0x69,0x65,0x58) -> i e X
|
||||||
```
|
```
|
||||||
### Replace method
|
### Replace method
|
||||||
- 文字や文字列を置換する
|
- 文字や文字列を置換する
|
||||||
|
|||||||
Loading…
Reference in New Issue
Block a user