《Effective and Light-Weight Deobfuscation and Semantic-Aware Attack Detection for PowerShell Scripts》:基于PowerShell的攻击,利用了PowerShell的动态性构造了复杂的混淆模式,绕过了检测。为了克服这一难题,作者提出来第一个轻量且有效的解混淆方案,并基于解混淆后的脚本构造了基于攻击语义的检测系统。实验显示,通过解混淆可以将混淆后脚本和原始脚本之间的相似度从仅0.5%提高到了近80%。
