psobf是一款针对PowerShell的代码混淆处理工具,广大安全研究人员可以轻松使用该工具完成对PowerShell代码的安全加固和混淆处理。
psobf基于Go语言开发,是一款PowerShell脚本工具。该工具的主要目的是混淆 PowerShell 代码,增强代码的安全性。该脚本提供 5 个级别的混淆,从基本混淆到脚本碎片化。这允许用户根据自己的特定需求定制混淆级别。
1、混淆级别:四个混淆级别,每个级别都比前一个更复杂。
2、通过将脚本拆分成单个字符来进行 1 级混淆。
3、脚本的 2 级为 Base64 编码。
4、级别 3 使用不同的 PowerShell 解码方法替代 Base64 编码。
5、脚本的 4 级压缩和 Base64 编码将在运行时解码和解压缩。
5、级别 5 将脚本分割成多个部分并在运行时重建。
6、压缩和编码:级别 4 包括在以 base64 编码之前对脚本进行压缩。
7、变量混淆:添加了一个函数来混淆 PowerShell 脚本中的变量名称。
8、随机字符串生成:生成随机字符串以混淆变量名。
Go
由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。
源码获取
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/TaurusOmar/psobf.git
Go安装
go install github.com/TaurusOmar/psobf@latest
混淆级别示例
混淆级别分为5个选项,首先你需要有一个需要混淆的PowerShell文件,假设你有一个文件,文件名称script.ps1如下:
Write-Host "Hello, World!"
级别 1:基本混淆
使用 1 级混淆运行脚本:
./obfuscator -i script.ps1 -o obfuscated_level1.ps1 -level 1
这将生成一个obfuscated_level1.ps1以模糊化内容命名的文件。结果将是你的脚本的一个版本,其中每个字符都用逗号分隔并在运行时组合。
结果(级别 1):
$obfuscated = $([char[]]("`W`,`r`,`i`,`t`,`e`,`-`,`H`,`o`,`s`,`t`,` `,`"`,`H`,`e`,`l`,`l`,`o`,`,` `,`W`,`o`,`r`,`l`,`d`,`!`,`"`") -join ''); Invoke-Expression $obfuscated
第 2 级:Base64 编码
使用 2 级混淆运行脚本:
./obfuscator -i script.ps1 -o obfuscated_level2.ps1 -level 2
这将生成一个obfuscated_level2.ps1以 base64 编码的内容命名的文件。执行此脚本时,它将在运行时解码并运行。
结果(级别 2):
$obfuscated = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('V3JpdGUtSG9zdCAiSGVsbG8sIFdvcmxkISI=')); Invoke-Expression $obfuscated
第 3 级:替代 Base64 编码
使用 3 级混淆执行脚本:
./obfuscator -i script.ps1 -o obfuscated_level3.ps1 -level 3
此级别使用 PowerShell 中略有不同的 base64 编码和解码形式,添加了额外的混淆层。
结果(级别 3):
$e = [System.Convert]::FromBase64String('V3JpdGUtSG9zdCAiSGVsbG8sIFdvcmxkISI='); $obfuscated = [System.Text.Encoding]::UTF8.GetString($e); Invoke-Expression $obfuscated
级别 4:压缩和 Base64 编码
使用4级混淆执行脚本:
./obfuscator -i script.ps1 -o obfuscated_level4.ps1 -level 4
此级别在对脚本进行 base64 编码之前对其进行压缩,使分析更加复杂。结果将在运行时解码和解压。
结果(级别 4):
$compressed = 'H4sIAAAAAAAAC+NIzcnJVyjPL8pJUQQAlRmFGwwAAAA='; $bytes = [System.Convert]::FromBase64String($compressed); $stream = New-Object IO.MemoryStream(, $bytes); $decompressed = New-Object IO.Compression.GzipStream($stream, [IO.Compression.CompressionMode]::Decompress); $reader = New-Object IO.StreamReader($decompressed); $obfuscated = $reader.ReadToEnd(); Invoke-Expression $obfuscated
第五级:脚本碎片化
使用 5 级混淆运行脚本:
./obfuscator -i script.ps1 -o obfuscated_level5.ps1 -level 5
此级别将脚本分割成多个部分,并在运行时重新构建。
结果(级别 5):
$fragments = @(
'Write-',
'Output "',
'Hello,',
' Wo',
'rld!',
'"'
);
$script = $fragments -join '';
Invoke-Expression $script
psobf:
https://github.com/TaurusOmar/psobf
