『杂项』Invoke-PSImage取证

文章预览

日期：2024.06.24 作者：nothing 介绍：学习如何从 Invoke-PSImage 取证免杀图片中提取隐藏脚本。 0x00 前言 之前公众号发过一篇文章，是利用隐写技术进行木马免杀的，采用的方式就是 Invoke-PSImage ，但之前只讲过如何进行隐藏，如果我们在真实环境中遇到了这种方式的免杀木马，如何进行病毒提取呢？下面就一起学习如何进行 Invoke-PSImage 技术的免杀木马提取。 0x01 Invoke-PSImage 1.1 隐写原理 使用的脚本地址： https://github.com/peewpw/Invoke-PSImage 前面的文章对 Invoke-PSImage 的隐写方式做过简单的叙述。 其本质上使用的是图片隐写技术中相对简单的最低有效位隐写（LSB）的方式进行数据隐藏，采用嵌入的方式，将有效的shellcode隐藏到每个像素点中的两个颜色通道中的四个低位中去。 正常的 LSB 隐写是替换 RGB 三个颜色分量的最低一位，每个像素存储 3 位的信息，但 I ………………………………