恶意程序解析利器PowerShellArsenal
发布时间:2022-05-18 09:38:35 所属栏目:安全 来源:互联网
导读:PowerShellArsenal是一个PowerShell模块,它的功能是帮助逆向工程师来分析.NET恶意软件,PowerShellArsenal的功能非常强大,它可以反汇编.NET恶意软件、分析和抓取内存、解析文件格式和内存结构,获取内部系统信息等。 (1)Get-CSDisassembly 使用Capstone
PowerShellArsenal是一个PowerShell模块,它的功能是帮助逆向工程师来分析.NET恶意软件,PowerShellArsenal的功能非常强大,它可以反汇编.NET恶意软件、分析和抓取内存、解析文件格式和内存结构,获取内部系统信息等。 (1)Get-CSDisassembly 使用Capstone Engine反汇编引擎反汇编代码 MSIL(Microsoft Intermediate Language (MSIL)微软中间语言。)反汇编器。 使用方法: 复制 Get-ILDisassembly -AssemblyPath <String> -MetadataToken <Int32> [<CommonParameters>] Get-ILDisassembly -MethodInfo <MethodBase> [<CommonParameters>] Get-ILDisassembly -MethodDef <MethodDef> [<CommonParameters>] 主要调用kernel32!LoadLibrary用于恶意软件分析,将DLL加载到当前的PowerShell进程中。 使用方法: 复制 Invoke-LoadLibrary [-FileName] <String> [<CommonParameters>] 1. (3)New-DllExportFunction New-DllExportFunction接受一个模块,然后导出procedure name,返回类型、参数类型。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐