什么是环境变量
关于什么是环境变量,我这篇文章介绍的很清楚
https://blog.csdn.net/qq_45894840/article/details/128622314?spm=1001.2014.3001.5502
这里在扩展一点
env
env是英文单词environment的缩写,其功能是用于显示和定义环境变量,我们可以通过查看env来获取本机全部的环境变量配置
ls env:\
在这里可以看到很多的环境变量配置,如果是cmd那就执行以下命令查看全部的环境变量
set
绕过Windows Defender和隐藏混淆行为
我们还可以通过env来查看指定的环境变量
echo $env:SYSTEMROOT
然后我将T更换为?
还是能正常显示环境变量,因为env会根据这个环境变量表来查找,类似于find -name “baimao*.exe”,这个命令会查找当前目录所以包含baimao这几个字符的exe文件
我们还可以进一步来用?替代字符
再多就会因为解析多个环境变量而报错
echo $env:S?????????
在后面加上其他的文件夹名,输出的内容也会改变
我们还可以使用dir或者ls或者Get-ChildItem来查看这个文件夹
Get-ChildItem $env:S?????????\System32
ls $env:S?????????\System32
dir $env:S?????????\System32
在后面指定的文件夹,也可以用?来代替
Get-ChildItem $env:S?????????\Sys?????
为了缩小范围,我们最好使用来代替字符,关于的用法,上面已经介绍过了
Get-ChildItem $env:S?????????\S*2
现在我们要弹出计算器,可以使用以下命令
start $env:S?????????\S*2\c*lc.*
如果我们要调用schtasks.exe,可以用以下命令
start $env:???t??r???\*2\??h???k?*
这些方法是我在看一篇apt恶意软件分析的报告学到的
https://www.securonix.com/blog/detecting-steepmaverick-new-covert-attack-campaign-targeting-military-contractors/
攻击者通过这种方法来隐藏混淆行为和绕过 Windows Defender
