背景
之前老哥在搞powershell,然后我也了解一下,随后找到了一个系统函数。
步骤
首先一般样本在执行powershell的时候都是,powershell.exe + 命令行参数,这里用x96的来添加参数,先利用notepad试试水。
然后在microsoft.powershell.consolehost.ni.dll:Microsoft.PowerShell.ConsoleHost.DoRunspaceLoop(System.String, Boolean, System.Collections.ObjectModel.Collection`1<System.Management.Automation.Runspaces.CommandParameter>, Boolean, Boolean, System.String)下一个断点,不要问我这个符号哪里来的,之前blog说过。通过函数原型可以知道第一个参数就是string,也就是字符串,但是通常这种C# jit编译的都是__fastcall,所以第一个参数就是edx,为什么不是ecx,这种函数一般ecx都是对象,第一个参数就是edx,接下来看看结果。
好点,参数我们成功拿到了,换成其他的wmi和一些加密属性在试试
Invoke-WmiMethod -Path win32_process -Name create -ArgumentList notepad.exe
-EncodedCommand dwBoAG8AYQBtAGkACgA=
//意思是who am i
还贴心的帮我们解码了
最后,祝大家拦截愉快,你问我hook怎么写?全局钩子+jit函数获取(之前blog又获取函数的方式)