来自 资讯 2021-04-06 12:05 的文章

网站防护_如何处理_扬州斗地主高防

网站防护_如何处理_扬州斗地主高防

在臭名昭著的DNS变换器广告软件的最新变体中,我们发现编码人员使用一种特别有趣的方法来绕过执行Powershell脚本所施加的默认限制。执行限制为了保护Windows用户,百度云加速能防御cc,微软选择了默认情况下不允许执行Powershell脚本。ExecutionPolicy的默认设置为"Restricted",它不加载配置文件或运行脚本。但它确实允许执行"单一"命令,路由ddos防御软件,这为规避限制提供了许多可能性。编码绕过限制的一种方法是对脚本进行编码,这基本上允许您将整个脚本转换为单个命令。然后执行,而不必考虑执行保护。我们看到的DNS转换器广告软件的示例如下:powershell.exe-nologo-executionpolicy绕过-noninteractive-windowstyle hidden–EncodedCommand{very long string}"非常长的字符串"将被Base64编码,因为这是Powershell默认使用的。我创建了自己的脚本来解码和格式化编码的命令,但解码可以很容易地在网上完成。一段经过解码和格式化的脚本正在使用的方法此广告软件使用具有随机名称和CLSID的计划任务来执行Powershell命令。{821B49C2-8DEC-DD5B-FEA9-891E01C29F09}2016年1月18日22:36:00准备就绪任务:{68DD3F41-1B59-4DCF-82E7-451FBB71491B}-System32\Tasks\{821B49C2-8DEC-DD5B-FEA9-891E01C29F09}=>powershell.exe-windowstyle hidden-非交互-ExecutionPolicy绕过–EncodedCommand{very long string}Powershell脚本所做的事情之一是设置一个UserAgent并从一组预定义的域中下载一个文件。它试图联系的域将被Malwarebytes Anti-Malware Premium阻止。特洛伊木马还通过更改注册表项下的值"NameServer"来更改DNS设置:HKEY U LOCAL U MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\ParametersHKEY U LOCAL U MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{interfaceGUID}在此示例中,DNS服务器更改为"82.163.142.3 95.211.158.130"。请注意,阿里云escddos防御,这些值用空格分隔,而不是Microsoft定义的逗号分隔。尽管如此,它还是有效的。如何还原Powershell执行策略的默认设置如果要检查执行策略的当前设置,可以运行Powershell并使用命令Get ExecutionPolicy来查找。如果您使用的是默认设置,则应限制回答。如果要更改设置,可以使用Set-Execution Cmdlet。请注意,您必须以管理员身份运行Powershell才能正常工作。例如,抗ddos防御,将设置返回默认值的命令是Set ExecutionPolicy Restricted。系统将提示您确认操作。 拆卸指南和保护DNS更改器的删除指南可以在我们的论坛上找到。Malwarebytes反恶意软件高级用户受到此威胁的保护。安装程序检测为特洛伊木马.Agent.DRS.除了我们自己阻止恶意软件,我们还联系了我们发现被脚本联系的域的主机。他们都是由同一家公司以同一IP托管的,我们要求他们对客户采取行动,他们回应称"问题已经解决"。摘要我们已经研究了DNS转换器广告软件家族的一个新变种的功能。尤其是使用编码脚本来绕过Powershell执行保护。链接绕过PowerShell执行策略的15种方法Technet Powershell设置执行策略彼得阿恩茨

,高防cdn搭建要多久