• 利用Hook的方式监控powershell的命令行参数


    背景

    之前老哥在搞powershell,然后我也了解一下,随后找到了一个系统函数。

    步骤

    首先一般样本在执行powershell的时候都是,powershell.exe + 命令行参数,这里用x96的来添加参数,先利用notepad试试水。

    然后在microsoft.powershell.consolehost.ni.dll:Microsoft.PowerShell.ConsoleHost.DoRunspaceLoop(System.String, Boolean, System.Collections.ObjectModel.Collection`1<System.Management.Automation.Runspaces.CommandParameter>, Boolean, Boolean, System.String)下一个断点,不要问我这个符号哪里来的,之前blog说过。通过函数原型可以知道第一个参数就是string,也就是字符串,但是通常这种C# jit编译的都是__fastcall,所以第一个参数就是edx,为什么不是ecx,这种函数一般ecx都是对象,第一个参数就是edx,接下来看看结果。

     好点,参数我们成功拿到了,换成其他的wmi和一些加密属性在试试

    Invoke-WmiMethod -Path win32_process -Name create -ArgumentList notepad.exe

    -EncodedCommand dwBoAG8AYQBtAGkACgA=
    //意思是who am i

    还贴心的帮我们解码了

    最后,祝大家拦截愉快,你问我hook怎么写?全局钩子+jit函数获取(之前blog又获取函数的方式)

  • 相关阅读:
    spark-2.0.0与hive-1.2.1整合
    kafka_2.11-0.10.0.0安装步骤
    hive-1.2.1安装步骤
    linux时间编程
    gdb与coredump
    linux下静态库、动态库的创建与使用
    linux常用工具
    js数组、内置对象、自定义对象
    JS学习五(js中的事件)
    JS学习四(BOM DOM)
  • 原文地址:https://www.cnblogs.com/csnd/p/16675579.html
Copyright © 2020-2023  润新知