《表2 Powershell代码混淆示意》
提示:宽带有限、当前游客访问压缩模式
本系列图表出处文件名:随高清版一同展现
《基于特征组合的Powershell恶意代码检测方法》
混淆去除。本文方法采用的数据原始格式为文本格式,由于Powershell代码中存在大量的混淆,需要在特征提取前对样本进行混淆去除,否则会对提取特征的有效性产生干扰。Powershell代码中常见的混淆类型包括字符操作、编码、加密和压缩。以获取并终止Notepad进程的Powershell代码为例,经过混淆后的部分效果如表2所示。
图表编号 | XD00212323200 严禁用于非法目的 |
---|---|
绘制时间 | 2021.01.01 |
作者 | 刘岳、刘宝旭、赵子豪、刘潮歌、王晓茜、吴贤达 |
绘制单位 | 中国科学院信息工程研究所、中国科学院大学网络空间安全学院、中国科学院信息工程研究所、中国科学院大学网络空间安全学院、中国科学院信息工程研究所、中国科学院大学网络空间安全学院、中国科学院信息工程研究所、中国科学院大学网络空间安全学院、中国科学院信息工程研究所、中国科学院大学网络空间安全学院、中国科学院信息工程研究所、中国科学院大学网络空间安全学院 |
更多格式 | 高清、无水印(增值服务) |