无法显示隐藏文件(鼠标右键删除不显示隐藏文件)

鼠标右键删除不显示隐藏文件

方法很简单，小乐会教你。复制方括号中的Unicode盲文字符“”，长按方括号中的空白以选择要复制；直接用“文件夹名称”替换文本，以达到“隐藏文件夹名称”的效果。很简单，实际上没有原理，就是说盲文字符（Unicode编号：U + 2800）本身就是一个“空白模式”，系统会正常显示它。 在上一篇文章中，我们解释了如何构造具有精致结构的YARA规则检测方法来检测证书中包含的恶意PowerShell脚本，而AV和IDS通常无法检测到这些包含恶意代码的证书。这是因为许多证书文件不包含有效证书，而是PowerShell脚本。尽管我们发现了各种有效载荷，但是包含Windows可执行文件的伪证书似乎是最常见的。在本文中，我们将分析包含PowerShell脚本的证书。攻击者可以将包含PowerShell脚本的伪造证书文件用作各种有效载荷的容器，以避免防病毒软件，IDS等检测到有效载荷。在Windows系统上打开证书文件时，有效载荷将不会被激活，必须将其提取由攻击者或恶意软件。另一种情况是证书文件本身无法动态分析。在沙箱中打开证书不会导致代码执行，因此通过沙箱检测不会发现恶意行为。分析我们使用YARA检测规则来检测VirusTotal上的证书MD5 0082aed588f76ba824fba。它的BASE64代码不是以字母M开头，因此它将不是有效的证书，也不是Windows可执行文件（PE文件），因为BASE64代码不会以字母T开头。但是当我们使用base64dump时。py进行分析，我们发现了一些异常信息。这看起来像以powershell。exe开头的命令，让我们看一下完整的代码。这个有效负载已经被多层混淆了，
这是我们选择此证书的另一个原因，它使我们能够展示PowerShell脚本的静态分析的整个过程。在上图中，您可以看到powershell。exe是通过-encodedcommand参数执行的。此参数是长的BASE64编码的UNICODE字符串，但是也可以使用base64dump对其进行解码。此抗锯齿脚本还包含BASE64代码，并且添加了另一层混淆。让我们对其重新格式化以提高可读性。我们可以看到BASE64字符串被解码，解压缩（GZip）和执行（IEX）。经过解码和解压缩后，我们最终将获得另一个PowerShell脚本。 translate。py具有（GzipD）函数来解压缩GZip压缩数据。可以看到有许多BASE64代码，但是这种类型的脚本也是众所周知的，因为它包含shellcode（BASE64编码），并且在注入PowerShell进程后将执行恶意操作。最后一个if语句带有一个表达式，以查看整数指针（IntPtr）的大小是否为8个字节。这是一种检测PowerShell进程是32位还是64位进程的技巧。 32位进程使用4字节指针，而64位进程使用8字节指针。在本文介绍的示例脚本中，如果指针的长度不为8个字节（32位），则将直接执行脚本（IEX）。对于64位PowerShell，启动32位PowerShell进程（start-job IEX -RunAs32）以运行脚本。可以实施此32位技术，因为该脚本仅包含32位Shellcode，并且只能在32位进程中运行，而不能在64位进程中运行。以下是被解码的BASE64的另一层：当我们解码这层BASE64编码的shellcode并提取字符串时，我们可以看到域和用户代理字符串。使用scdbg。exe提取并模拟此shellcode，
可以看出，shellcode建立了一个HTTP链接来下载多级shell代码，并且它们负责启动多个可以远程访问的shell。此代码是渗透测试工具的典型代码，例如较旧的Metasploit / Meterpreter以及在PowerShell中开发的类似框架。摘要您不能使用动态分析方法直接分析伪造证书文件中隐藏的恶意软件，因为打开证书后将不会执行代码。因此，检测此脚本需要几个步骤。第一步是提取有效载荷。上面，我们给出了一个静态分析的示例，该示例混淆了最终执行第一阶段shellcode的PowerShell脚本。这是渗透测试框架的典型功能，但犯罪分子也可以反向使用它。