[論文閱讀] (40)CCS24 PowerPeeler：一種通用的PowerShell腳本動態去混淆方法

《娜璋帶你讀論文》系列主要是督促自己閱讀優秀論文及聽取學術講座，并分享給大家，希望您喜歡。由于作者的英文水平和學術能力不高，需要不斷提升，所以還請大家批評指正，非常歡迎大家給我留言評論，學術路上期待與您前行，加油。

該文是貴大0624團隊論文學習筆記，分享者姚迪同學，未來我們每周至少分享一篇論文筆記。前一篇博客帶來了EuroS&P’25 基于大模型的威脅情報知識圖譜自動構建系統（CTINEXUS）。本文將詳細介紹東南大學團隊CCS’24的PowerPeeler，提出一種精準且通用的PowerShell腳本動態去混淆方法，本文核心貢獻是利用抽象語法樹和動態跟蹤來解混淆，并與大模型進行了比較證明了其有效性。注意，由于我們團隊還在不斷成長和學習中，寫得不好的地方還請海涵，希望這篇文章對您有所幫助，這些大佬真值得我們學習。fighting！

歡迎關注作者新建的『網絡攻防和AI安全之家』知識星球（文章末尾）

文章目錄

一.摘要
二.引言
三.本文框架
- 1.總體架構
- 2.動態跟蹤（Dynamic Tracking）
- 3.腳本恢復（Script Recovery）
四.實驗結果分析
- 1.數據集
- 2.解混淆能力評估（Deobfuscation Capability）
- 3.去混淆結果正確性（Result Correctness）
- 4.敏感信息恢復（Sensitive Data Recovery）
- 5.語義一致性（Semantic Consistency）
- 6.代碼復雜性緩解（CodeComplexity Alleviation）
五.相關工作
六.總結

在這里插入圖片描述

原文作者：Ruijie Li, Chenyang Zhang, Huajun Chai, Lingyun Ying, Haixin Duan, Jun Tao（東南大學、復旦大學、奇安信、清華大學）
原文標題：PowerPeeler: A Precise and General Dynamic Deobfuscation Method for PowerShell Scripts
原文鏈接：https://dl.acm.org/doi/10.1145/3658644.3670310
發表會議：ACM CCS 2024（國際頂級安全會議，CCF-A 類）
筆記作者：貴大0624團隊姚迪
開源代碼：https://gitee.com/snowroll/powerpeeler

如果您正在研究PowerShell或離地攻擊的安全防護，希望大家也能給我們的工作及未來研究提供一些建議，當前正在嘗試大模型賦能的PowerShell解混淆與行為檢測。同時，如果我們的PowerDetector工作對您的研究有幫助，希望您能進行引用，感謝！

Yang X, Peng G, Zhang D, et al. PowerDetector: Malicious PowerShell script family classification based on multi-modal semantic fusion and deep learning[J]. China Communications, 2023, 20(11): 202-224.

一.摘要

PowerShell是一個功能強大的多功能任務自動化工具。不幸的是，它也被網絡攻擊者廣泛濫用。為了繞過惡意軟件檢測并阻礙威脅分析，攻擊者通常采用各種技術來混淆惡意PowerShell腳本。現有的去混淆工具受到靜態分析的限制，無法準確模擬真實的去混淆過程。準確、完整和健壯的PowerShell腳本解綁定仍然是一個具有挑戰性的問題。

在本文中，我們提出了PowerPeeler。據我們所知，它是指令級的第一個動態PowerShell腳本去混淆方法，其利用與表達式相關的抽象語法樹(AST)節點來識別潛在的混淆腳本片段。然后，PowerPeeler將AST節點與其相應的指令關聯起來，并監視腳本的整個執行過程。隨后，PowerPeeler動態跟蹤這些指令的執行并記錄其執行結果。最后，PowerPeeler對這些結果進行字符串化，以替換相應的混淆腳本片段并重建去混淆腳本。

為了評估PowerPeeler的有效性，我們收集了1,736,669個真實世界的惡意PowerShell樣本，并使用多種混淆方法提取了兩個高質量的數據集：D-Script包含4,264個混淆腳本文件，D-Cmdline使用PowerShell命令行界面包含381個混淆樣本。我們將Power-Peeler與五種最先進的去混淆工具和GPT-4進行了比較。評估結果表明，PowerPeeler可以有效地處理所有已知的混淆方法。此外，PowerPeeler的去混淆正確率達到95%，明顯超過其他工具。 PowerPeeler不僅恢復了最大量的敏感數據（如ip和url），還保持了97%以上的語義一致性，這也是最好的。此外，PowerPeeler在有限的時間框架內（即兩分鐘）有效地獲得最大量的有效去混淆結果。此外，PowerPeeler是可擴展的，可以用作其他網絡安全解決方案的有用工具，例如惡意軟件分析和威脅情報生成。

在這里插入圖片描述

二.引言

PowerShell是一個功能強大的配置管理框架，具有命令行界面和腳本語言。PowerShell可以在內存中執行腳本，通過本機PowerShell命令（即cmdlet）和windows應用程序編程接口(api)訪問各種系統組件。自2008年以來，所有版本的Windows都預裝了powershell，并廣泛用于日常活動。然而，PowerShell經常被網絡犯罪分子用來發動網絡攻擊。例如，在2023年10月，針對印度政府的網絡攻擊中使用了四個惡意Power-Shell腳本。目前，PowerShell腳本已經成為網絡安全的主要威脅。

在高級持續性威脅（APT）攻擊中，攻擊者普遍采用PowerShell腳本進行命令與控制（C2）通信，其高度動態性與解釋執行機制使其易于混淆。為規避檢測，攻擊者常通過字符串轉換、語法重寫、嵌套執行（如Invoke-Expression）等手段對惡意腳本進行深度混淆，造成傳統靜態與動態檢測手段的識別失效。當前主流去混淆方法包括基于正則表達式與抽象語法樹（AST）的靜態分析策略，代表性方法如PSDecode、PowerDecode和PowerDrive，它們通過特征模式匹配與函數重定向手段提取潛在明文參數。

在這里插入圖片描述

然而，此類方法難以處理不依賴特定調用（如iex）或具有控制流重排特征的混淆樣本，且由于缺乏運行時語義上下文支持，往往存在語法不完整、恢復結果不準確等問題。為克服語義缺失問題，部分研究提出基于AST子樹恢復的語義保持型去混淆方法，如Invoke-Deobfuscation等，但在實際執行中仍受限于上下文信息缺失與代碼多態性的干擾。綜上，當前PowerShell腳本的去混淆研究仍面臨如下關鍵挑戰：

語義建模弱
上下文理解不足
與真實攻擊樣本適應性差

因此，亟需引入更具語義建模能力的技術框架以提升去混淆的智能化水平。

本文貢獻可以總結如下：

提出了第一個指令級的動態PowerShell腳本去混淆方法。我們的方法是精確和通用的，它在腳本執行期間捕獲正確的去混淆結果，然后用它們的恢復結果替換被混淆的腳本片段，以獲得去混淆的腳本。
基于PowerShell 7構建了去混淆工具PowerPeeler。它可以通過動態跟蹤準確獲取樣本的運行時信息，并通過腳本恢復正確重建去混淆結果。此外，它是跨平臺的，與PowerShelll5兼容。
用兩種不同的形式構建了兩個高質量的數據集：使用PowerShell命令行界面的D-Script與4,264個混淆的腳本文件和D-Cmdline與381個混淆的樣本，它們都包含具有多樣性混淆方法的獨特真實世界樣本。
在PowerPeeler和最先進的工具之間進行全面和比較評估，證明PowerPeeler在幾乎所有評估方面都表現出色。此外，與 GPT-4相比，它也表現出優越的性能。開源。為了促進未來的研究，開放了PowerPeeler的代碼、評估數據集和我們在gite2上解混淆的結果。

三.本文框架

1.總體架構

PowerPeeler由兩個組件組成——動態跟蹤和腳本恢復。最初，PowerPeeler將混淆后的腳本解析為AST；隨后，PowerPeeler繼續將AST編譯為表達式樹，再轉換為指令列表。通過監控整個轉換過程，PowerPeeler能夠將AST節點映射到各自的指令，混淆恢復成通常涉及的表達式。因此，PowerPeeler可以跟蹤與AST表達相關的節點。各自的指令在內存中記錄指令的執行結果。最后，PowerPeeler對這些執行結果進行字符串化，并替換相應的混淆片段，以獲得去混淆的腳本。

在這里插入圖片描述

本文主要分為八個部分：

解析（parse）：將混淆 PowerShell 腳本解析成抽象語法樹 AST（Abstract Syntax Tree）。這一步識別出其中的語法結構，如賦值、調用、操作符等。形成了一個帶有 UnaryExpressionAST（一元表達式節點）的 AST 樹。
編譯（compile）：PowerShell 會將 AST 編譯為表達式樹（Expression Tree）。每個語法節點（如 -join、變量引用）被轉化為 Operator 和參數。
輕量編譯（light compile）：編譯器將表達式樹進一步轉化為指令（Instruction List）。Call(UnaryJoinOperator) 表示將執行 -join 操作。
執行（execute）：真正運行 PowerShell 腳本，逐條執行指令。我們在 PowerShell 引擎中插入動態追蹤 hook，監控每條指令運行過程，記錄執行堆棧 Evaluation Stack 的每一步結果（包括變量解引用、字符串拼接等）。
記錄（record）：PowerPeeler 實時記錄每條指令的運行結果。比如變量a的值是 “Power”，數組拼接后是 “PowerPeeler”。
字符化（stringify）：將指令運行結果轉化為可還原腳本的字符串值。此處將 “PowerPeeler” 從動態過程提取為一個固定字符串。
替換（replace）：在 AST 中找到原始混淆節點（如 UnaryExpressionAST 中的 -join 結構），將其替換為字符串 “PowerPeeler”。替換后的 AST 節點表達了與執行結果語義一致但更簡潔的內容。
重構（reconstruct）：對修改后的 AST 進行遍歷，重建出清晰可讀的去混淆腳本。最終輸出結果：

 $a = 'Power''PowerPeeler'

在這里插入圖片描述

2.動態跟蹤（Dynamic Tracking）

動態跟蹤模塊是 PowerPeeler 的核心創新之一，其目標是精確捕捉 PowerShell 腳本在執行過程中每條指令的真實語義，以實現對混淆行為的準確還原。為實現指令級的動態監控，作者對 PowerShell 的底層執行引擎進行了改造，具體是在其執行框架中每條指令的 Run() 方法中插入鉤子（hook）邏輯，從而實現對指令執行過程的實時捕獲。

該模塊的工作流程從腳本解析開始，首先將輸入的 PowerShell 腳本轉換為抽象語法樹（AST），然后再編譯為表達式樹和最終的指令序列（Instruction List）。這些指令通常對應如變量賦值、函數調用、字符串拼接等操作。在腳本運行期間，PowerPeeler 會動態追蹤每條指令的執行過程，將執行堆棧（Evaluation Stack）中的變化一一記錄，包括變量的實際取值、函數執行結果、中間字符串構造過程等。

為保障運行環境的穩定性，PowerPeeler 引入了名為 NaObject 的特殊對象，用于替代可能因錯誤或不完整環境而導致失敗的指令執行結果。這樣做的好處是可以最大程度保留腳本語義的完整性，避免因單條指令失敗導致整個去混淆流程中斷。此外，為防止腳本在運行過程中執行潛在惡意行為（如訪問網絡、寫入磁盤或重啟系統），PowerPeeler 還對常見危險命令進行沙箱級限制與替換，確保追蹤過程的安全可控。

在這里插入圖片描述

通過這一指令級別的精細追蹤機制，PowerPeeler 能夠獲取到靜態方法難以恢復的混淆行為執行結果，極大增強了對復雜混淆技術的適應性和還原能力。

3.腳本恢復（Script Recovery）

在動態追蹤完成之后，PowerPeeler 的腳本恢復模塊負責將前面記錄的指令執行結果轉換為可讀的、語義一致的 PowerShell 腳本，完成真正的“去混淆”任務。該模塊采用一種“基于 AST 替換”的設計思路，即以原始語法結構為基礎，將執行結果“注入”回源代碼結構中，盡可能保留代碼風格的同時消除混淆結構。

腳本恢復的第一步是對執行結果進行字符串化（stringify）。PowerPeeler將所有通過指令運行獲得的中間值（如拼接字符串、變量值、函數輸出）轉換為標準 PowerShell 可識別的字符串表達形式。這一過程既要保持語法合法性，也要確保替代后的代碼不引發新的運行錯誤。

接下來，系統會將這些字符串化的結果對齊至其對應的 AST 節點。PowerPeeler在動態跟蹤階段已建立了 AST 節點與指令之間的映射關系，因此可以精確定位到混淆代碼所在的語法結構，如 -join、[Text.Encoding]::UTF8.GetString()、多層 IEX 嵌套等。一旦定位成功，腳本恢復模塊便會將這些混淆結構替換為真實運行結果，例如將 -join(@($a, ‘Peeler’)) 替換為 ‘PowerPeeler’，并在必要時添加注釋記錄函數調用結果，防止在還原后重新運行時出現語義偏差。

在替換完所有混淆片段后，系統對更新后的 AST 樹進行后序遍歷，重新生成完整的 PowerShell 腳本文本。與僅輸出去混淆字符串不同，PowerPeeler 的腳本恢復輸出具有完整語法結構，適合后續自動化分析、威脅檢測與溯源使用。

總的來說，腳本恢復模塊通過將動態結果嵌入語法結構的方式，不僅保證了去混淆結果的可讀性和可運行性，還保持了腳本的結構一致性和上下文邏輯，為真實場景中的安全分析提供了極大的便利。

四.實驗結果分析

1.數據集

在網絡安全公司的幫助下收集了1,736,669 wild PowerShell samples。構建了兩個高質量的評估數據集，其中包含4,645個真實世界的混淆power - ershell樣本，即D-Script和D-Cmdline。這兩個數據集包含具有不同混淆特征的獨特樣本，代表了混淆PowerShell腳本的兩種典型使用形式，即作為單獨的文件使用或嵌入命令行參數。預處理后，最終得到D-Script數據集，其中包含4264個高度混淆的PowerShell腳本文件。

D-Script：Huajun Chai, Lingyun Ying, Haixin Duan, and Daren Zha. 2022. Invoke-deobfuscation: AST-based and semantics-preserving deobfuscation for PowerShell scripts. In 2022 52nd Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN)
D-Cmdline：Jeff White. 2017. Pulling Back the Curtains on EncodedCommand PowerShell Attacks. https://unit42.paloaltonetworks.com/unit42-pulling-back-the-curtainson-encodedcommand-powershell-attacks/.

2.解混淆能力評估（Deobfuscation Capability）

這部分評估各工具能還原多少種混淆手法。PowerShell 中的混淆技術分為 18 類（如 Base64 編碼、命令拼接、別名、函數重載、加密等）；表格列出各工具對這18種技術的支持情況。結果顯示：

PowerPeeler 是唯一能全面支持所有類型的系統，而其他工具通常只能應對 6~12 種；GPT-4 表現接近但不穩定，在控制流和函數嵌套結構中缺乏精確性。這證明 PowerPeeler 的指令級動態追蹤具備更強的通用性和穩健性。

在這里插入圖片描述

3.去混淆結果正確性（Result Correctness）

為了評估去混淆結果的正確性，我們利用開源混淆工具Invoke Obfuscation[21]來處理100個未混淆的PowerShell樣本，其中包括來自網絡安全公司的50個惡意樣本和來自PowerShellCorpus[8]的其他50個良性樣本。

在這里插入圖片描述

此表展示了多個主流 PowerShell 去混淆工具在結果正確性方面的對比情況。PowerPeeler在該項評估中表現極為突出，不僅在所有 100 條復雜混淆腳本中都成功生成了有效輸出，而且其中有 95 條與原始混淆腳本語義保持一致，準確率高達 95%。相比之下，其他靜態工具如 PSD、PDR 和 PDC 表現相對較差，能夠輸出的結果數量有限，且語義還原能力極弱，僅有 0~4 條樣本實現了正確還原。部分改進型工具如 LWD 和 IVD 雖然提升了有效輸出率，但其語義一致性仍低于 PowerPeeler 一半。

值得注意的是，GPT-4 作為代表性的大語言模型，在處理混淆腳本時展現出一定理解能力，但受限于上下文窗口與對運行時語義的缺乏掌握，其準確率也未能超過 20%。綜合來看，PowerPeeler 在應對真實世界多樣化、復雜化的 PowerShell 混淆腳本方面展現出顯著的精度優勢和穩定性，驗證了其在語義保留與實用檢測中的領先地位。

4.敏感信息恢復（Sensitive Data Recovery）

表3展示了各類去混淆工具在恢復敏感信息方面的能力對比，重點涵蓋了 IP 地址、URL、文件路徑與注冊表鍵值等四類典型情報字段。實驗結果表明，PowerPeeler 在兩個數據集上均顯著優于所有對比工具。在 D-Script 文件型腳本中，PowerPeeler 成功提取了總計 15,834 條敏感信息，幾乎是排名第二工具（GPT-4）的五倍；尤其在 URL 與文件路徑恢復上表現出色，分別達 7,066 條和 6,819 條。相比之下，傳統靜態工具如 PSD、PDC 等雖然處理樣本數多，但由于無法動態還原拼接語義，其提取結果較為有限。GPT-4 雖具自然語言處理優勢，但缺乏運行時語義，仍存在較多漏報與誤報。

在這里插入圖片描述

在 D-Cmdline 命令行腳本中，PowerPeeler 同樣領先，恢復了 433 條敏感字段，遠超 GPT-4 的 308 條以及所有靜態工具（多數在 40 條以下）。這一實驗表明，PowerPeeler 具備在高度混淆、短上下文條件下還原攻擊意圖的能力，對于實際威脅分析和攻擊溯源極具價值。整體來看，PowerPeeler 是當前最具敏感信息提取效果的 PowerShell 去混淆系統，能夠顯著提升安全團隊對惡意腳本的理解效率與響應準確性。

5.語義一致性（Semantic Consistency）

表4評估了多個去混淆工具在語義一致性方面的能力，即輸出腳本是否在執行結果上與原始混淆腳本保持完全一致。這一指標非常關鍵，因為僅有語法正確或結構清晰并不能保證腳本的功能未被破壞，只有語義一致才能證明真正還原了攻擊者的意圖。

在 D-Script 文件型腳本評估中，PowerPeeler 實現了 97.1% 的語義一致率，且成功處理了最多樣本（3,421 條），在所有工具中表現最為出色。相比之下，傳統工具如 PSD 和 PDR 雖然在有效樣本中維持較高一致率（分別為 86.6%、80.5%），但處理樣本總數較少，適用范圍有限。改進型工具如 PDC 和 IVD 表現中等，一致率在 90%左右，但仍存在部分腳本功能丟失或重構錯誤的問題。

在這里插入圖片描述

而對于 D-Cmdline 命令行腳本，PowerPeeler 的表現依舊領先，一致性高達 99.7%，處理樣本數為 374 條。雖然 PSD 和 PDR 在該數據集上的一致率為 100%，但它們僅處理了 14 和 12 條樣本，覆蓋面極小，代表性不足。GPT-4 在命令行腳本上的一致性為 79.3%，明顯低于 PowerPeeler，說明大語言模型在面對實際混淆場景時仍存在一定的不確定性與重構失誤。LWD 與 IVD 在該類樣本上一致性不足 75%，表現同樣有限。

綜上所述，PowerPeeler 在語義一致性維度展現了強大優勢，不僅保持了高正確率，還支持大規模樣本的穩定處理。其動態執行級追蹤機制能夠精確地還原混淆行為背后的真實語義，是當前最具語義保真能力的去混淆系統之一。這一能力對于安全分析、攻擊溯源及威脅場景復現具有重要意義。

6.代碼復雜性緩解（CodeComplexity Alleviation）

該圖展示了各工具在去混淆后對 PowerShell 腳本的代碼復雜度緩解效果，通過對原始混淆腳本與去混淆結果的復雜度比值進行對比，衡量腳本是否真正實現了簡化、可讀與可審計的重構目標。整體上，PowerPeeler 在兩個數據集中均獲得了最優的代碼簡化效果，表現出顯著的結構還原優勢。

在這里插入圖片描述

在 D-Script 數據集中，PowerPeeler 所生成的去混淆腳本復雜度最低，其復雜度比值大約為 80% 左右，明顯低于大多數對比工具。其中像 LWD、PDC 等工具雖然在部分混淆結構上實現了還原，但去混淆后保留了大量嵌套結構和字符串重拼接邏輯，導致代碼冗長且難以解讀。而 IVD 雖然在準確性方面表現尚可，但其代碼結構復雜度遠高于其他工具，在某些樣本中甚至比混淆腳本還要復雜（如超過 100%），說明其還原過程存在結構膨脹問題。GPT-4 作為大語言模型，去混淆后雖然形式自然，但因格式不穩定、未能系統性重構結構，其復雜度控制也不如 PowerPeeler。

在 D-Cmdline 數據集中，PowerPeeler 同樣取得了最好的簡化效果，其代碼復雜度約為 75% 左右。命令行腳本原本就結構短小、混淆程度高，因此去混淆的簡潔性尤為關鍵。GPT-4 和靜態工具如 PSD、PDR 均在該維度表現不佳，特別是 GPT-4 常在輸出中引入注釋性冗余或語法殘缺，導致腳本看似自然卻在結構上并不清晰。PowerPeeler 通過指令級重構與結構清理，在保證語義一致的同時，有效移除了冗余語句、嵌套函數與中間變量，顯著降低了代碼閱讀與審計成本。

整體來看，此圖體現出 PowerPeeler 不僅在功能正確性方面表現優越，在代碼可讀性、工程化實用性方面也具有明顯優勢。這種“還原即簡化”的能力對于安全分析人員在快速響應攻擊、審計可疑腳本時具有重要意義，也凸顯了 PowerPeeler 的工程落地價值。

在這里插入圖片描述

五.相關工作

針對惡意 PowerShell 腳本的檢測與還原，已有諸多研究從不同維度嘗試解決混淆帶來的分析挑戰。早期方法主要依賴靜態分析與特征匹配技術，如 PowerShell Decoder（PSD）、PowerDrive、IVD 等工具，它們大多基于語法規則、字符串模式或抽象語法樹（AST）結構進行腳本解析。這類方法在處理基礎字符串重構、簡單 -join 操作時效果尚可，但面對多層嵌套、變量動態綁定或控制流重排等復雜混淆結構時，往往缺乏足夠的上下文語義支撐，容易導致誤判或還原不全。

另一方面，近年來也有部分研究嘗試引入語義建模與機器學習方法。例如 GPT-4 等大語言模型具備較強的自然語言理解與代碼生成能力，被探索用于腳本去混淆任務。盡管這些模型在部分場景下表現出良好的語義解釋能力，但由于其缺乏對運行時上下文的把控與變量執行追蹤能力，仍無法精確還原由混淆技術動態構造出的腳本邏輯，尤其是在多階段嵌套調用與函數鏈重組情境下表現不穩定。

與上述方法相比，PowerPeeler 提出了全新的指令級動態分析框架，首次在 PowerShell 執行過程中插入運行時鉤子，實現了精細化的語義追蹤與實時還原。其與靜態工具相比顯著提升了混淆還原的覆蓋率，與大模型相比則在語義一致性與結構完整性上展現出更高可靠性，從而填補了當前去混淆技術在“精確性與通用性”之間的空白。

六.總結

本文提出了 PowerPeeler，一款精確且通用的 PowerShell 動態去混淆系統。與以往依賴靜態語法解析或大模型語義生成的方法不同，PowerPeeler 以 PowerShell 指令為核心執行單元，構建了基于運行時行為的語義還原流程，具備以下幾方面的創新性和實用價值：

首先，PowerPeeler 能夠通過在 PowerShell 執行引擎中插入指令級 Hook，實現對每條指令運行語義的實時追蹤，從而準確捕獲變量綁定、字符串拼接、函數調用等混淆語義。其次，系統在獲取執行語義后，結合 AST 語法樹與指令映射機制，逐節點替換混淆結構，實現語義一致、結構清晰的腳本還原。此外，PowerPeeler 在面對多階段嵌套結構、控制流構造與腳本重編碼場景下，表現出顯著的泛化能力與穩健性。
大規模實驗評估表明，PowerPeeler 在真實惡意腳本數據集上表現出遠優于現有工具的效果：支持最多類型的混淆策略，準確率達到 95%，敏感信息恢復數量超 15,000 條，語義一致性高達 99.7%，且代碼結構最簡潔。與 GPT-4 等先進模型相比，PowerPeeler 的執行一致性與信息完整性更強，具備更好的工程可部署性。

總而言之，PowerPeeler 為 PowerShell 腳本的去混淆分析提供了新的技術路徑，不僅提升了檢測的準確性和解釋性，也為未來的惡意腳本語義還原、威脅情報提取與安全審計等任務奠定了堅實基礎。

2024年4月28日是Eastmount的安全星球——『網絡攻防和AI安全之家』正式創建和運營的日子，該星球目前主營業務為安全零基礎答疑、安全技術分享、AI安全技術分享、AI安全論文交流、威脅情報每日推送、網絡攻防技術總結、系統安全技術實戰、面試求職、安全考研考博、簡歷修改及潤色、學術交流及答疑、人脈觸達、認知提升等。下面是星球的新人券，歡迎新老博友和朋友加入，一起分享更多安全知識，比較良心的星球，非常適合初學者和換安全專業的讀者學習。

目前收到了很多博友、朋友和老師的支持和點贊，尤其是一些看了我文章多年的老粉，購買來感謝，真的很感動，類目。未來，我將分享更多高質量文章，更多安全干貨，真心幫助到大家。雖然起步晚，但貴在堅持，像十多年如一日的博客分享那樣，腳踏實地，只爭朝夕。繼續加油，再次感謝！

(By:Eastmount 2025-06-27 周四夜于貴陽 http://blog.csdn.net/eastmount/ )

前文賞析：

[論文閱讀] (01)拿什么來拯救我的拖延癥？初學者如何提升編程興趣及LATEX入門詳解
[論文閱讀] (02)SP2019-Neural Cleanse: Identifying and Mitigating Backdoor Attacks in DNN
[論文閱讀] (03)清華張超老師 - GreyOne: Discover Vulnerabilities with Data Flow Sensitive Fuzzing
[論文閱讀] (04)人工智能真的安全嗎？浙大團隊外灘大會分享AI對抗樣本技術
[論文閱讀] (05)NLP知識總結及NLP論文撰寫之道——Pvop老師
[論文閱讀] (06)萬字詳解什么是生成對抗網絡GAN？經典論文及案例普及
[論文閱讀] (07)RAID2020 Cyber Threat Intelligence Modeling Based on Heterogeneous GCN
[論文閱讀] (08)NDSS2020 UNICORN: Runtime Provenance-Based Detector for Advanced Persistent Threats
[論文閱讀] (09)S&P2019 HOLMES Real-time APT Detection through Correlation of Suspicious Information Flow
[論文閱讀] (10)基于溯源圖的APT攻擊檢測安全頂會總結
[論文閱讀] (11)ACE算法和暗通道先驗圖像去霧算法（Rizzi | 何愷明老師）
[論文閱讀] (12)英文論文引言introduction如何撰寫及精句摘抄——以入侵檢測系統(IDS)為例
[論文閱讀] (13)英文論文模型設計（Model Design）如何撰寫及精句摘抄——以入侵檢測系統(IDS)為例
[論文閱讀] (14)英文論文實驗評估（Evaluation）如何撰寫及精句摘抄（上）——以入侵檢測系統(IDS)為例
[論文閱讀] (15)英文SCI論文審稿意見及應對策略學習筆記總結
[論文閱讀] (16)Powershell惡意代碼檢測論文總結及抽象語法樹（AST）提取
[論文閱讀] (17)CCS2019 針對PowerShell腳本的輕量級去混淆和語義感知攻擊檢測
[論文閱讀] (18)英文論文Model Design和Overview如何撰寫及精句摘抄——以系統AI安全頂會為例
[論文閱讀] (19)英文論文Evaluation（實驗數據集、指標和環境）如何描述及精句摘抄——以系統AI安全頂會為例
[論文閱讀] (20)USENIXSec21 DeepReflect：通過二進制重構發現惡意功能（惡意代碼ROI分析經典）
[論文閱讀] (21)S&P21 Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land (經典離地攻擊)
[論文閱讀] (22)圖神經網絡及認知推理總結和普及-清華唐杰老師
[論文閱讀] (23)惡意代碼作者溯源(去匿名化)經典論文閱讀：二進制和源代碼對比
[論文閱讀] (24)向量表征：從Word2vec和Doc2vec到Deepwalk和Graph2vec，再到Asm2vec和Log2vec（一）
[論文閱讀] (25)向量表征經典之DeepWalk：從Word2vec到DeepWalk，再到Asm2vec和Log2vec（二）
[論文閱讀] (26)基于Excel可視化分析的論文實驗圖表繪制總結——以電影市場為例
[論文閱讀] (27)AAAI20 Order Matters: 二進制代碼相似性檢測（騰訊科恩實驗室）
[論文閱讀] (28)李沐老師視頻學習——1.研究的藝術·跟讀者建立聯系
[論文閱讀] (29)李沐老師視頻學習——2.研究的藝術·明白問題的重要性
[論文閱讀] (30)李沐老師視頻學習——3.研究的藝術·講好故事和論點
[論文閱讀] (31)李沐老師視頻學習——4.研究的藝術·理由、論據和擔保
[論文閱讀] (32)南洋理工大學劉楊教授——網絡空間安全和AIGC整合之道學習筆記及強推（InForSec）
[論文閱讀] (33)NDSS2024 Summer系統安全和惡意代碼分析方向相關論文匯總
[論文閱讀] (34)EWAS2024 基于SGDC的輕量級入侵檢測系統
[論文閱讀] (35)TIFS24 MEGR-APT：基于攻擊表示學習的高效內存APT獵殺系統
[論文閱讀] (36)C&S22 MPSAutodetect：基于自編碼器的惡意Powershell腳本檢測模型
[論文閱讀] (37)CCS21 DeepAID：基于深度學習的異常檢測（解釋）
[論文閱讀] (38)基于大模型的威脅情報分析與知識圖譜構建論文總結（讀書筆記）
[論文閱讀] (39)EuroS&P25 CTINEXUS：基于大模型的威脅情報知識圖譜自動構建
[論文閱讀] (40)CCS24 PowerPeeler：一種通用的PowerShell腳本動態去混淆方法