超级会员免费看
本文探讨了CMD混淆在网络安全中的复杂性,特别是CMD语法的多样性和容错性使得混淆变得尤为困难。文章以EMOTET家族的样本为例,详细分析了其CMD混淆方法,包括使用环境变量和特殊字符进行混淆。通过解析CMD命令和测试,揭示了病毒如何通过解密数组元素构建最终的执行命令。提供了解密和验证混淆CMD命令的Python代码片段,并引用了相关参考资料。
CMD的混淆是JS、VBA、powershell等混淆语言中最难解的,因为对于CMD来说是没有公开的调试器的,需要去了解繁杂众多的CMD语法。CMD为了使用方得便,命令中有很多容错率,从而也导致BAT脚本可以被混淆得很厉害。
以下是CMD中容易使用用来混淆的字符:
| 语法符号 | 功能作用 |
|---|---|
| >、>> | 重定向 |
| 竖杠 | 管道 |
| &&、&、双竖杠 | 语句连接 |
| ^ | 转义字符,该字符不影响命令的执行 |
| ,和 ; | 这两个符号可以互换,可以取代命令中的合法空格 |
| () | 在参数中该符号也不影响命令执行 |
CMD参数 /?显示帮助,最被常用得两个参数 /C /V。/V:ON参数启用时,可以不使用call命令来扩展变量,使用 %var% 或 !var! 来扩展变量,!
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
