1、Effective and Light-Weight Deobfuscation and Semantic- Aware Attack Detection for PowerShell Scripts. (CCS 19) Zhenyuan Li, Qi Alfred Chen, Chunlin Xiong, Yan Chen, Tiantian Zhu, and Hai Yang. 北京网络安全大会 InForSec 高效的 PowerShell 脚本解混淆系统及对应的 检测方案设计 报告人:李振源 浙江大学 li_ 1. 研究动机介绍 2. 相关工作比较 3. 结合例子介绍具体技术 4. 实
2、验结果介绍 5. 总结 2 Road Map 研究动机 3 1. https:/ papers/increased-use-of-powershell-in-attacks-16-en.pdf 2. https:/ 1. 基于 PowerShell 的攻击发生的 频率逐年上升 1,2 432% between 2016 2017, 661%between 2017 2018, 460%in the first quarter of 2019. PowerShell 在所有攻击中出现的频率 达到45%。 研究动机 现代攻击中的 PowerShell 4 “Live“Live- -offoff-
3、-thethe- -Land”Land” 1.PowerShell 被预装在大多数 Windows 系统的主机上。 2.PowerShell 可以作为一种管理员工具,很容易访问和利用 Windows 组件。 “ “FilelessFileless Attack”Attack” 1.PowerShell 可以直接从内存中执行而不需要涉及到文件。 “ “ObufscationObufscation” ” 1.PowerShell 作为一种动态语言,灵活性很强,容易被混淆。 研究动机 5 1. https:/ papers/increased-use-of-powershell-in-attacks-16-en.pdf 2. https:/ 1. 基于 PowerShell 的攻击发生的 频率逐年上升 1,2 432% between 2016 2017, 661%between 2017 20