You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
概要 前回の記事に引き続き、今回もPowerShellの難読化の手法について記述します。 ドット記号によるスクリプトの実行 前回の記事では、アンパサンド記号によりInvoke-Expressionを実行する手法を取り上げましたが、ドット記号もアンパサンド記号と同様の動作をします。よって、ドット記号もまたアンパサンド記号と同様に、難読化されたPowerShellスクリプトでInvoke-Expressionコマンドレットを実行するために用いられます。以下に実行例を示します。アンパサンド記号とドット記号のどちらによっても、変数comletに格納した「Get-Host」が、コマンドレットとして評価され実行されていることがわかります。 PS C:\> $comlet = "Get-Host" PS C:\> $comlet Get-Host PS C:\> & $comlet Name : Con
概要 悪意のあるコードを実行させようとした場合、平文でそのまま実行させようとしても、何かしらのセキュリティ機構に検知されてしまいます。そこで攻撃者は、難読化を施すことでセキュリティ機構を潜り抜けて、悪意のあるコードの実行を試みます。近年のPowerShellによる攻撃でも、悪意のあるスクリプトに難読化処理を施すことは珍しくありません。本記事では、難読化されたPowerShellスクリプトへの対処のために、難読化に関する基本的な事項を記述します。 コードの評価 難読化されたコードは、実行中に意味のあるコードに形を変えて、最後に「コードを評価して実行する関数」の引数に渡されることで実行されます。例えばJavaScriptやPHPなどでは、eval関数によってコードを評価して実行します。PowerShellの場合はInvoke-Expressionコマンドレットやアンパサンド記号がそれに相当しま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く