本申請公開了一種PowerShell惡意腳本的檢測方法，所述檢測方法包括確定待檢測PowerShell腳本中的腳本執行命令；將腳本執行命令替換為輸出命令得到目標PowerShell腳本；通過執行所述目標PowerShell腳本輸出目標腳本代碼，并對所述目標腳本代碼執行惡意腳本檢測操作。本方法能夠提高對PowerShell惡意腳本的檢測準確率。本申請還公開了一種PowerShell惡意腳本的檢測裝置、一種電子設備及一種存儲介質，具有以上有益效果。

技術領域

本申請涉及網絡安全技術領域，特別涉及一種PowerShell惡意腳本的檢測方法、裝置、一種電子設備及一種存儲介質。

背景技術

PowerShell是一種命令行工具，黑客可以利用PowerShell惡意腳本對計算即設備進行攻擊。隨著越來越多的殺毒軟件增強了對PowerShell惡意腳本的檢測查殺，黑客開始使用各種各樣的方式對PowerShell惡意腳本進行混淆，以降低PowerShell惡意腳本被查殺的機率，阻止殺毒軟件和安全人員對其進行檢測分析。

相關技術中，通常基于代碼即時翻譯的方式實現對于PowerShell的自動化反混淆，例如：識別到“+”則將兩端的字符串進行拼接，識別到“replace”則替換字符串。但是，上述相關技術中的反混淆方法只能對已知的混淆方式進行翻譯，一旦黑客使用其他混淆方式就無法對PowerShell腳本進行解析，因此基于代碼即時翻譯的反混淆方法的檢測準確率較低。

因此，如何提高PowerShell惡意腳本的檢測準確率是本領域技術人員目前需要解決的技術問題。

發明內容

本申請的目的是提供一種PowerShell惡意腳本的檢測方法、裝置、一種電子設備及一種存儲介質，能夠提高對PowerShell惡意腳本的檢測準確率。

為解決上述技術問題，本申請提供一種PowerShell惡意腳本的檢測方法，該檢測方法包括：

確定待檢測PowerShell腳本中的腳本執行命令；

將所述腳本執行命令替換為輸出命令得到目標PowerShell腳本；

通過執行所述目標PowerShell腳本輸出目標腳本代碼，并對所述目標腳本代碼執行惡意腳本檢測操作。

可選的，確定待檢測PowerShell腳本中的腳本執行命令包括：

利用第一特征庫中的正則表達式確定所述待檢測PowerShell腳本中的腳本執行命令；

其中，所述第一特征庫中的正則表達式包括大小寫混淆正則表達式和/或全拼混淆正則表達式。

可選的，所述第一特征庫中的正則表達式的生成過程包括：

獲取所述腳本執行命令對應的所有字符大小寫組合的命令簡寫字符串，根據所述命令簡寫字符串生成所述大小寫混淆正則表達式；

和/或，獲取所述腳本執行命令對應的所有字符大小寫組合的命令全拼字符串，根據所述命令全拼字符串生成所述全拼混淆正則表達式。

可選的，確定待檢測PowerShell腳本中的腳本執行命令包括：

利用第二特征庫中確定所述待檢測PowerShell腳本中的腳本執行命令；

其中，所述第二特征庫包括字符拼接混淆樣本字符串和/或字符拼接混淆正則表達式。

可選的，構建所述第二特征庫的過程包括：

確定樣本PowerShell惡意腳本中長度小于預設長度的待檢字符串樣本；其中，所述待檢字符串樣本為同一括號內的全部字符串；

利用所述輸出命令模擬執行所述待檢字符串得到輸出結果；