タグ

ブックマーク / binary-pulsar.azurewebsites.net (1)

  • PowerShell難読化の基礎 (1) – Binary Pulsar

    概要 悪意のあるコードを実行させようとした場合、平文でそのまま実行させようとしても、何かしらのセキュリティ機構に検知されてしまいます。そこで攻撃者は、難読化を施すことでセキュリティ機構を潜り抜けて、悪意のあるコードの実行を試みます。近年のPowerShellによる攻撃でも、悪意のあるスクリプトに難読化処理を施すことは珍しくありません。記事では、難読化されたPowerShellスクリプトへの対処のために、難読化に関する基的な事項を記述します。 コードの評価 難読化されたコードは、実行中に意味のあるコードに形を変えて、最後に「コードを評価して実行する関数」の引数に渡されることで実行されます。例えばJavaScriptPHPなどでは、eval関数によってコードを評価して実行します。PowerShellの場合はInvoke-Expressionコマンドレットやアンパサンド記号がそれに相当しま

    misomico
    misomico 2018/09/05
  • 1