• 利用Hook的方式监控powershell的命令行参数


    背景

    之前老哥在搞powershell,然后我也了解一下,随后找到了一个系统函数。

    步骤

    首先一般样本在执行powershell的时候都是,powershell.exe + 命令行参数,这里用x96的来添加参数,先利用notepad试试水。

    然后在microsoft.powershell.consolehost.ni.dll:Microsoft.PowerShell.ConsoleHost.DoRunspaceLoop(System.String, Boolean, System.Collections.ObjectModel.Collection`1<System.Management.Automation.Runspaces.CommandParameter>, Boolean, Boolean, System.String)下一个断点,不要问我这个符号哪里来的,之前blog说过。通过函数原型可以知道第一个参数就是string,也就是字符串,但是通常这种C# jit编译的都是__fastcall,所以第一个参数就是edx,为什么不是ecx,这种函数一般ecx都是对象,第一个参数就是edx,接下来看看结果。

     好点,参数我们成功拿到了,换成其他的wmi和一些加密属性在试试

    Invoke-WmiMethod -Path win32_process -Name create -ArgumentList notepad.exe

    -EncodedCommand dwBoAG8AYQBtAGkACgA=
    //意思是who am i

    还贴心的帮我们解码了

    最后,祝大家拦截愉快,你问我hook怎么写?全局钩子+jit函数获取(之前blog又获取函数的方式)

  • 相关阅读:
    Java 8 —— Lambda表达式
    Calendar 学习
    No provider available for the service com.xxx.xxx 错误解决
    ContextLoaderListener错误
    pom文件中引入依赖成功了,但是jar包找不着
    https=http+ssl
    Spring boot学习笔记
    Spring cloud 学习笔记
    记录一些注解的含义
    Linux笔记
  • 原文地址:https://www.cnblogs.com/csnd/p/16675579.html
Copyright © 2020-2023  润新知