0x00 引言

人在做，天在看。

技术从来都是中性的，被用来行善还是作恶完全取决于运用它的人。原子能可以用来发电为大众提供清洁能源，也可以用来制造能毁灭全人类的核武器，这不是一个完善的世界，于是我们既有核电站也有了核武器。

Powershell，曾经Windows系统管理员的称手工具，在恶意代码制造和传播者手里也被玩得花样百出。由于Powershell的可执行框架部分是系统的组件不可能被查杀，而驱动它的脚本是非PE的而非常难以通过静态方法判定恶意性，同时脚本可以非常小巧而在系统底层的支持下功能却可以非常强大，这使利用Powershell的恶意代码绕过常规的病毒防护对系统为所欲为。因此，360天眼实验室近期看到此类恶意代码泛滥成灾就毫不奇怪，事实上，我们甚至看到所跟踪的APT团伙也开始转向Powershell。

本文我们向大家展示一些看到的实际恶意代码的例子。

作者：Chinadu
来源：Chinadu`s Blog http://www.4shell.org
原文地址： http://www.4shell.org/archives/1592.html

这个问题很复杂，说是说不清楚的，只能扯一扯。先扯个大概吧。
首先，得明确一点：任何人都没有义务公开自己的研究，任何人都没有权利要求别人公开自己的研究——尤其是那些自己没公开过什么的人。不过似乎不少人 都有自己的一套理论，能够找出充分的理由来为此义愤填膺，就像七八岁的小男孩得不到想要的游戏机一般义愤填膺。