恶意程序分析利器PowerShellArsenal

简介

PowerShellArsenal是一个PowerShell模块，它的功能是帮助逆向工程师来分析.NET恶意软件，PowerShellArsenal的功能非常强大，它可以反汇编.NET恶意软件、分析和抓取内存、解析文件格式和内存结构，获取内部系统信息等。

1.Disassembly

反汇编代码

（1）Get-CSDisassembly

使用Capstone Engine反汇编引擎反汇编代码

使用方法：

Get-CSDisassembly-Architecture{Arm|Arm64|Mips|X86|PPC|CS_ARCH_ALL}-Mode{LittleEndian|Arm|Mode16|
Mode32|Mode64|Thumb|Micro|N64|BigEndian}-Code<Byte[]>[-Offset<UInt64>][-Count<UInt32>][-Syntax<S
tring>][-DetailOn][<CommonParameters>]

（2）Get-ILDisassembly

MSIL(Microsoft Intermediate Language (MSIL)微软中间语言。)反汇编器。

使用方法：

Get-ILDisassembly-AssemblyPath<String>-MetadataToken<Int32>[<CommonParameters>]

Get-ILDisassembly-MethodInfo<MethodBase>[<CommonParameters>]

Get-ILDisassembly-MethodDef<MethodDef>[<CommonParameters>]

2.MalwareAnalysis

分析恶意软件时需要用到的工具。

（1）New-FunctionDelegate

提供了一个X86或x86_64功能的可执行包装。

使用方法：

New-FunctionDelegate[[-Parameters]<Type[]>][[-ReturnType]<Type>][-FunctionBytes]<Byte[]>[[-CallingConvention
]{Winapi|Cdecl|StdCall|ThisCall|FastCall}][-DebugBreak][<CommonParameters>]

（2）Invoke-LoadLibrary

主要调用kernel32!LoadLibrary用于恶意软件分析，将DLL加载到当前的PowerShell进程中。

使用方法：

Invoke-LoadLibrary[-FileName]<String>[<CommonParameters>]

（3）New-DllExportFunction

New-DllExportFunction接受一个模块，然后导出procedure name，返回类型、参数类型。***创建一个托管的委托，可用于执行非托管函数。

使用方法：

New-DllExportFunction[-Module]<ProcessModule>[-ProcedureName]<String>[[-Parameters]<Type[]>][[-ReturnType]<
Type>][<CommonParameters>]

（4）Get-HostsFile

解析HOSTS文件

使用方法：

Get-HostsFile[[-Path]<String>][-Show][<CommonParameters>]

（5）New-HostsFileEntry

替换或添加内容到HOSTS文件

使用方法：

New-HostsFileEntry[-IPAddress]<IPAddress>[-Hostname]<String>[[-Comment]<String>][-Path<String>][-PassThru]
[-Show][<CommonParameters>]

（6）Remove-HostsFileEntry

从HOSTS文件中删除内容

使用方法：

Remove-HostsFileEntry-IPAddress<IPAddress>[-Path<String>][-PassThru][-Show][<CommonParameters>]

Remove-HostsFileEntry-Hostname<String>[-Path<String>][-PassThru][-Show][<CommonParameters>]

Remove-HostsFileEntry[-Path<String>][-PassThru][-Show][-HostsEntry<PSObject[]>][<CommonParameters>]

（7）Get-AssemblyStrings

输出.NET可执行文件所有定义的字符串

使用方法：

Get-AssemblyStrings-AssemblyPath<String>[-HeapType<String>][-Raw][<CommonParameters>]

Get-AssemblyStrings-AssemblyBytes<Byte[]>[-HeapType<String>][-Raw][<CommonParameters>]

Get-AssemblyStrings-AssemblyInfo<Assembly>[-HeapType<String>][-Raw][<CommonParameters>]

（8）Get-AssemblyResources

提取程序中的资源

Get-AssemblyResources-AssemblyPath<String>[<CommonParameters>]

Get-AssemblyResources-AssemblyBytes<Byte[]>[<CommonParameters>]

Get-AssemblyResources-AssemblyInfo<Assembly>[<CommonParameters>]

（9）Remove-AssemblySuppressIldasmAttribute

从.NET程序集中删除SuppressIldasmAttribute属性。

使用方法：

Remove-AssemblySuppressIldasmAttribute-AssemblyPath<String>-FilePath<String>[<CommonParameters>]

Remove-AssemblySuppressIldasmAttribute-AssemblyBytes<Byte[]>-FilePath<String>[<CommonParameters>]

Remove-AssemblySuppressIldasmAttribute-AssemblyInfo<Assembly>-FilePath<String>[<CommonParameters>]

（10）Get-AssemblyImplementedMethods

返回程序的所有方法。

使用方法：

Get-AssemblyImplementedMethods-AssemblyPath<String>[<CommonParameters>]

Get-AssemblyImplementedMethods-AssemblyBytes<Byte[]>[<CommonParameters>]

Get-AssemblyImplementedMethods-AssemblyInfo<Assembly>[<CommonParameters>]

3.MemoryTools

检查和分析进程内存

（1）Get-ProcessStrings

输出一个进程的用户模式内存中所以可打印的字符串

使用方法：

Get-ProcessStrings[-ProcessID]<Int32>[-MinimumLength<UInt16>][-Encoding<String>][-IncludeImages][<CommonPar
ameters>]

（2）Get-VirtualMemoryInfo

调用的kernel32!VirtualQueryEx

使用方法：

Get-VirtualMemoryInfo[-ProcessID]<Int32>[-ModuleBaseAddress]<IntPtr>[-PageSize<Int32>][<CommonParameters>]

（3）Get-ProcessMemoryInfo

类似于!vadump WinDbg命令

使用方法：

Get-ProcessMemoryInfo[-ProcessID]<Int32>[<CommonParameters>]

（4）Get-StructFromMemory

将数据从任意进程中的非托管内存块调度到新分配的指定类型的托管对象。

Get-StructFromMemory[-Id]<UInt16>[-MemoryAddress]<IntPtr>[-StructType]<Type>[<CommonParameters>]

4.Parsers

解析文件格式和内存结构

（1）Get-PE

分析内存和磁盘上文件的PE头

使用方法：

Get-PE[-ProcessID]<Int32>[[-ModuleBaseAddress]<IntPtr>][[-Module]<ProcessModule[]>][-DumpDirectory<String>]
[-IgnoreMalformedPE][<CommonParameters>]

Get-PE[-FileBytes]<Byte[]>[-IgnoreMalformedPE][<CommonParameters>]

（2）Find-ProcessPEs

在内存中查找可移植的可执行文件，而不管它们是否以合法方式加载

使用方法：

Find-ProcessPEs[-ProcessID]<Int32>[<CommonParameters>]

（3）Get-LibSymbols

显示来自Windows LIB文件的符号信息。

使用方法：

Get-LibSymbols[-Path]<String[]>[<CommonParameters>]

（4）Get-ObjDump

显示有关Windows对象(OBJ)文件的信息。

使用方法：

Get-ObjDump[-Path]<String[]>[<CommonParameters>]

5.WindowsInternals

获取并分析低级别的Windows操作系统的信息。

（1）Get-NtSystemInformation

一个实用的程序，调用ntdll!NtQuerySystemInformation函数，可用于查询通常对用户不可见的内部操作系统信息。

使用方法：

Get-NtSystemInformation[-PoolTagInformation][<CommonParameters>]

Get-NtSystemInformation[-ModuleInformation][<CommonParameters>]

Get-NtSystemInformation[-HandleInformation][-ObjectType<String>][<CommonParameters>]

Get-NtSystemInformation[-ObjectInformation][<CommonParameters>]

Get-NtSystemInformation[-LockInformation][<CommonParameters>]

Get-NtSystemInformation[-CodeIntegrityInformation][<CommonParameters>]

Get-NtSystemInformation[-GlobalFlags][<CommonParameters>]

（2）Get-PEB

返回一个进程的进程环境块(PEB)。

使用方法：

Get-PEB[-Id]<UInt16[]>[<CommonParameters>]

（3）Register-ProcessModuleTrace

跟踪加载进程的模块

使用方法：

Register-ProcessModuleTrace[<CommonParameters>]

（4）Get-ProcessModuleTrace

显示已加载自调用Register-ProcessModuleTrace流程模块

使用方法:

Get-ProcessModuleTrace[<CommonParameters>]

（5）Unregister-ProcessModuleTrace

停止正在运行的进程模块跟踪

使用方法：

Unregister-ProcessModuleTrace[<CommonParameters>]

（6）Get-SystemInfo

调用kernel32!GetSystemInfo来获取系统的一些信息。

使用方法：

Get-SystemInfo[<CommonParameters>]

6.Misc

其他的辅助功能

（1）Get-Member

用于扩展内置Get-Member cmdlet的代理函数

使用方法：

Get-Member[-InputObject<PSObject>][[-Name]<String[]>][-MemberType{AliasProperty|CodeProperty|Property|
NoteProperty|ScriptProperty|Properties|PropertySet|Method|CodeMethod|ScriptMethod|Methods|Parameter
izedProperty|MemberSet|Event|Dynamic|All}][-View{Extended|Adapted|Base|All}][-Static][-Force][<C
ommonParameters>]

Get-Member[-InputObject<PSObject>][[-Name]<String[]>][-PrivateMemberType{Constructor|Event|Field|Metho
d|Property|TypeInfo|Custom|NestedType|All}][-Static][-Force][-Private][<CommonParameters>]

（2）Get-Strings

Get-Strings cmdlet从文件返回字符串(Unicode和/或Ascii)。 此cmdlet对转储字符串很有用。

使用方法：

Get-Strings[-Path]<String[]>[-Encoding<String>][-MinimumLength<UInt32>][<CommonParameters>]

（3）ConvertTo-String

ConvertTo-String执行二进制正则表达式非常有用。

使用方法：

ConvertTo-String[-Path]<String>[<CommonParameters>]

（4）Get-Entropy

计算文件或字节数组的熵。

使用方法：

Get-Entropy[-ByteArray]<Byte[]>[<CommonParameters>]

Get-Entropy[-FilePath]<FileInfo>[<CommonParameters>]

项目地址：https://github.com/mattifestation/PowerShellArsenal