powershell base64编码混淆资料-2021-4.pdfVIP

前言：

某一天发现一个powershell脚本，进行了尝试可发现可进行免杀，但是对其中的混淆方法始终不理解，于是通过谷歌发

现了具体方法，发现该文章写的还是很不错的，所以将文章中的内容进行了翻译，原文出处可参考：

https///attack-techniques-hands-on/powershell-obfuscation-demystified-series-chapter-2-

concatenation-and-base64-encoding/

概述：

powershell由于能在内存中执行，所以是一种常见的无文件攻击方法。事实上按照我们的经验，powershell是文件写入

的第一步。我们在下面的案例中将看到，攻击者是如何混淆powershell做常见的执行命令IEX

(involve-expression)。

IEX命令是invoke-expression的别名，IEX命令可允许用户在本地计算机上执行一些命令或表达式。

invoke-expression

命令的使用表达式如下：

Invoke-Expression

[-command]

string

在无文件攻击的案例中，IEX命令在攻击者的恶意脚本中占有重要位置，IEX可以执行在线命令用于远程下载恶意脚本，为

了更好的理解powershell执行远程命令，