基于行为特征的PowerShell恶意代码检测模型

随着网络攻击技术的发展,PowerShell恶意代码被广泛应用于无文件攻击中。为了有效检测PowerShell恶意代码,提出一种基于行为特征的PowerShell恶意代码检测模型。首先,通过搭建CAPE沙箱运行分析PowerShell脚本提取API序列。随后,使用一维卷积层提取获取API序列的短距离依赖关系,在应用Bi-LSTM获取API序列之间的时序依赖关系后,利用Transformer编码器捕获序列间的长距离依赖和全局关系。最后,使用全连接层实现恶意性检测。实验结果表明,模型能够有效检测PowerShell恶意代码。

基于PowerShell的公共机房管理探索

提高公共机房的快速反应能力是机房管理面临的重要问题。第三方管理软件的使用提高了运营成本并延长了解决问题的时间。本文以全国计算机等级考试环境为例,利用PowerShell快速完成各种设置而无需考虑操作系统各种版本,满足公共机房的大部分管理工作需要并节省了人力物力。

借助PowerShell脚本维护系统安全

Windows PowerShell是一种命令行外壳程序和脚本环境,使用户可扩展Windows命令提示符。其旨在改进命令行和脚本环境,PowerShell远程也已经逐渐成为在网络上进行管理通信的主要方式。PowerShell命令在系统管理中的便捷性也使得其在很多情况下有着多种用途,诸如在维护系统安全方面。

运用PowerShell计算行×列表χ~2检验

微软已经推出功能强大的PowerShell 1.0,并决定在未来的新操作系统中内置PowerShell,PowerShell本身具有完善的数学计算和多维数组功能,只需通过简单脚本编程就可以方便地计算医学统计中经常遇到的行×列表χ2检验问题。

通过PowerShel审核DC之DNS设置

本文提供了一个PowerShell脚本,可用于检查DC的TCP/IP属性中配置了多少DNS服务器,读者可以进一步改写,使之能够确认DC使用DNS服务器IP地址是否正确。DNS是活动目录AD(Active Directory)中重要的子系统,它集中了A D各项功能,具体而言,在对客户端计算机进行身份验证以及将GPO设置应用于用户和计算机时都需要DNS。

利用PowerShell Direct 让VM更安全

Windows Server系统默认开启的PowerShell远程功能方便了网络管理员在任何地点都可以建立PowerShell会话,但此时也会存在一些安全隐患,这些安全隐患是管理员必须要引起重视的。在此,笔者在本文中介绍利用PowerShell Direct可让VM更安全。

通过PowerShell获取组策略安全报告

采用PowerShell可以实现生成组策略安全报告的功能,这有时对于我们日常网络安全管理来说,也是非常有益的事情。P o w e r S h e l l在组策略管理方面的命令非常丰富,它可以新建组策略对象,修改组策略设置等等。但它还能够生成组策略安全报告,这项功能容易被人忽略,却颇具实用价值。在PowerShell 中有一个专门生成有关组策略对象报告的命令即Get-GPOReport。在生成该报告时,首先需要提供组策略对象名称比如Default Domain Policy;其次还须设定报告类型,此时选项为HTML 与XML,最后给出该报告存放的位置。

基于特征组合的Powershell恶意代码检测方法

近年来,Powershell由于其易用性强、隐蔽性高的特点被广泛应用于APT攻击中,传统的基于人工特征提取和机器学习方法的恶意代码检测技术在Powershell恶意代码检测中越来越难以有效。本文提出了一种基于随机森林特征组合和深度学习的Powershell恶意代码检测方法。该方法使用随机森林生成更好表征原始数据的新特征组合,随后使用深度学习神经网络训练并进行分类识别。该方法可以弥补人工特征工程经验不足的问题,更好表征原始数据从而提高检测效果。本文实验结果显示,利用本文提出方法构建的Powershell恶意代码检测系统性能良好,在真实数据集中的召回率、准确率均在99%以上,可以对Powershell恶意代码进行有效的检测识别。

PowerDetector:Malicious PowerShell Script Family Classification Based on Multi-Modal Semantic Fusion and Deep Learning

Power Shell has been widely deployed in fileless malware and advanced persistent threat(APT)attacks due to its high stealthiness and live-off-theland technique.However,existing works mainly focus on deobfuscation and malicious detection,lacking the malicious Power Shell families classification and behavior analysis.Moreover,the state-of-the-art methods fail to capture fine-grained features and semantic relationships,resulting in low robustness and accuracy.To this end,we propose Power Detector,a novel malicious Power Shell script detector based on multimodal semantic fusion and deep learning.Specifically,we design four feature extraction methods to extract key features from character,token,abstract syntax tree(AST),and semantic knowledge graph.Then,we intelligently design four embeddings(i.e.,Char2Vec,Token2Vec,AST2Vec,and Rela2Vec) and construct a multi-modal fusion algorithm to concatenate feature vectors from different views.Finally,we propose a combined model based on transformer and CNN-Bi LSTM to implement Power Shell family detection.Our experiments with five types of Power Shell attacks show that PowerDetector can accurately detect various obfuscated and stealth PowerShell scripts,with a 0.9402 precision,a 0.9358 recall,and a 0.9374 F1-score.Furthermore,through singlemodal and multi-modal comparison experiments,we demonstrate that PowerDetector’s multi-modal embedding and deep learning model can achieve better accuracy and even identify more unknown attacks.

基于PowerShell脚本的可疑程序取证工具设计

安全用户经常需要分析并找出系统中的可疑程序。利用Windows的PowerShell、WMI和内置程序实现了一个可疑程序取证工具,它能够辅助安全用户对可疑程序进行分析和取证。相较于第三方工具,该工具更加方便、安全、可靠,在某些方面也更加智能。测试结果表明,该工具能够切实地辅助安全用户识别可疑程序,收集与可疑程序有关的重要数据。

基于Powershell恶意代码的应用研究

科学技术的高速发展,使得传统恶意代码的应用逐渐减少,Powershell恶意代码的应用开始兴起.文章主要就Powershell恶意代码加载Payload以及制作钓鱼软件进行分析研究,最后给出了研究结论,其使用核心就是使用Powershell加载Payload.

运用PowerShell制作一个英文朗读器

未来微软新操作系统中都内置PowerShell。PowerShell本身不仅具有完善的数学计算功能,还由于它是面向对象,基于.Net框架的,能够同时支持WMI、COM、ADO.NET、ADSI等已有的Windows管理模型,基于Windows制作一个英文朗读器是可行的,对英语学习者阅读英文很有帮助。

Powershell与活动目录

对PowerShell全面支持活动目录的漫长等待终于结束了。微软已经发布了AD模块和PowerShell Drive提供程序。使得通过PowerShell管理AD变得异常简单。

基于Powershell进行服务器远程监控的MVC5网站研究

随着学校的信息化建设的逐步推进,各类服务器和网络系统规模不断增大,对服务器的运行维护也愈发重要。该文通过将Powershell命令运用到NET MVC 5架构网站中,来实现一种远程服务器无须安装额外软件即可进行服务器远程监控的方法。

使用PowerShell管理eDiscovery

除了通过简易的Exchange管理中心网站来管理就地eDiscovery和保留设置外,也可以使用Exchange Management Shell的命令工具,来进行这方面的各种管理任务。接下来就让我们来学习几个常见的命令示例。首先我们来看看针对一般人员邮箱或共享邮箱的探索示例。

在VBScript和PowerShell中处理回收站文件

EmptyRecycleBin.Vbs是一个VBScript脚本，可以用于轻松删除回收站中的全部文件。在需要删除、恢复或查看回收站中的独立文件时，则可以使用PowerShell脚本Get—Recycled．psi。

我可以使用Windows Server 2008 R2 Power Shell模块来管理Windows Server2008群集吗？我可以在Windows Server 2008服务器上运行PowerShell模块吗？

Windows Server 2008 R2 PowerShell模块仅适用于Windows Server 2008 R2群集。如果您在Windows Server 2008群集上使用这些模块，虽然某些功能也能使用，但不建议您这样做。对此我做了一些有限的测试，

通过PowerShell Cmdlet控制Windows功能

通过DISM和3个新的PowerShell cmdlet。Windows Server 2008 R2对服务器的配置过程进行了一些改变。今天我们将介绍如何利用这些cmdlet。

使用PowerShell批量管理活动目录Active Directory模块让这一操作轻而易举

Windpws管理员也许经常需要对活动目录进行各种大批量的操作，而早期的PowerShell对此不能完全胜任。现在你可以使用Windows Server 2008 R2和Windows 7中新出现的Active Directory模块，轻松完成这些任务。本文详细介绍了两个例子，

Exchange Server 2007：没有ExMerge会怎样？——我们还可以使用PowerShell命令来进行同样的操作

尽管在Exchange Server2007中，我们将不会再看到ExMerge。但是这些操作还将继续存在。从本文中，您可以了解到在Exchange Server2007中，如何使用Exchange管理外壳和Exchange管理控制器达到与ExMerge相同的效果。