[论文阅读] (40)CCS24 PowerPeeler：一种通用的PowerShell脚本动态去混淆方法

《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座，并分享给大家，希望您喜欢。由于作者的英文水平和学术能力不高，需要不断提升，所以还请大家批评指正，非常欢迎大家给我留言评论，学术路上期待与您前行，加油。

该文是贵大0624团队论文学习笔记，分享者姚迪同学，未来我们每周至少分享一篇论文笔记。前一篇博客带来了EuroS&P’25 基于大模型的威胁情报知识图谱自动构建系统（CTINEXUS）。本文将详细介绍东南大学团队CCS’24的PowerPeeler，提出一种精准且通用的PowerShell脚本动态去混淆方法，本文核心贡献是利用抽象语法树和动态跟踪来解混淆，并与大模型进行了比较证明了其有效性。注意，由于我们团队还在不断成长和学习中，写得不好的地方还请海涵，希望这篇文章对您有所帮助，这些大佬真值得我们学习。fighting！

欢迎关注作者新建的『网络攻防和AI安全之家』知识星球（文章末尾）

文章目录

一.摘要
二.引言
三.本文框架
- 1.总体架构
- 2.动态跟踪（Dynamic Tracking）
- 3.脚本恢复（Script Recovery）
四.实验结果分析
- 1.数据集
- 2.解混淆能力评估（Deobfuscation Capability）
- 3.去混淆结果正确性（Result Correctness）
- 4.敏感信息恢复（Sensitive Data Recovery）
- 5.语义一致性（Semantic Consistency）
- 6.代码复杂性缓解（CodeComplexity Alleviation）
五.相关工作
六.总结

在这里插入图片描述

原文作者：Ruijie Li, Chenyang Zhang, Huajun Chai, Lingyun Ying, Haixin Duan, Jun Tao（东南大学、复旦大学、奇安信、清华大学）
原文标题：PowerPeeler: A Precise and General Dynamic Deobfuscation Method for PowerShell Scripts
原文链接：https://dl.acm.org/doi/10.1145/3658644.3670310
发表会议：ACM CCS 2024（国际顶级安全会议，CCF-A 类）
笔记作者：贵大0624团队姚迪
开源代码：https://gitee.com/snowroll/powerpeeler

如果您正在研究PowerShell或离地攻击的安全防护，希望大家也能给我们的工作及未来研究提供一些建议，当前正在尝试大模型赋能的PowerShell解混淆与行为检测。同时，如果我们的PowerDetector工作对您的研究有帮助，希望您能进行引用，感谢！

Yang X, Peng G, Zhang D, et al. PowerDetector: Malicious PowerShell script family classification based on multi-modal semantic fusion and deep learning[J]. China Communications, 2023, 20(11): 202-224.

一.摘要

PowerShell是一个功能强大的多功能任务自动化工具。不幸的是，它也被网络攻击者广泛滥用。为了绕过恶意软件检测并阻碍威胁分析，攻击者通常采用各种技术来混淆恶意PowerShell脚本。现有的去混淆工具受到静态分析的限制，无法准确模拟真实的去混淆过程。准确、完整和健壮的PowerShell脚本解绑定仍然是一个具有挑战性的问题。

在本文中，我们提出了PowerPeeler。据我们所知，它是指令级的第一个动态PowerShell脚本去混淆方法，其利用与表达式相关的抽象语法树(AST)节点来识别潜在的混淆脚本片段。然后，PowerPeeler将AST节点与其相应的指令关联起来，并监视脚本的整个执行过程。随后，PowerPeeler动态跟踪这些指令的执行并记录其执行结果。最后，PowerPeeler对这些结果进行字符串化，以替换相应的混淆脚本片段并重建去混淆脚本。

为了评估PowerPeeler的有效性，我们收集了1,736,669个真实世界的恶意PowerShell样本，并使用多种混淆方法提取了两个高质量的数据集：D-Script包含4,264个混淆脚本文件，D-Cmdline使用PowerShell命令行界面包含381个混淆样本。我们将Power-Peeler与五种最先进的去混淆工具和GPT-4进行了比较。评估结果表明，PowerPeeler可以有效地处理所有已知的混淆方法。此外，PowerPeeler的去混淆正确率达到95%，明显超过其他工具。 PowerPeeler不仅恢复了最大量的敏感数据（如ip和url），还保持了97%以上的语义一致性，这也是最好的。此外，PowerPeeler在有限的时间框架内（即两分钟）有效地获得最大量的有效去混淆结果。此外，PowerPeeler是可扩展的，可以用作其他网络安全解决方案的有用工具，例如恶意软件分析和威胁情报生成。

在这里插入图片描述

二.引言

PowerShell是一个功能强大的配置管理框架，具有命令行界面和脚本语言。PowerShell可以在内存中执行脚本，通过本机PowerShell命令（即cmdlet）和windows应用程序编程接口(api)访问各种系统组件。自2008年以来，所有版本的Windows都预装了powershell，并广泛用于日常活动。然而，PowerShell经常被网络犯罪分子用来发动网络攻击。例如，在2023年10月，针对印度政府的网络攻击中使用了四个恶意Power-Shell脚本。目前，PowerShell脚本已经成为网络安全的主要威胁。

在高级持续性威胁（APT）攻击中，攻击者普遍采用PowerShell脚本进行命令与控制（C2）通信，其高度动态性与解释执行机制使其易于混淆。为规避检测，攻击者常通过字符串转换、语法重写、嵌套执行（如Invoke-Expression）等手段对恶意脚本进行深度混淆，造成传统静态与动态检测手段的识别失效。当前主流去混淆方法包括基于正则表达式与抽象语法树（AST）的静态分析策略，代表性方法如PSDecode、PowerDecode和PowerDrive，它们通过特征模式匹配与函数重定向手段提取潜在明文参数。

在这里插入图片描述

然而，此类方法难以处理不依赖特定调用（如iex）或具有控制流重排特征的混淆样本，且由于缺乏运行时语义上下文支持，往往存在语法不完整、恢复结果不准确等问题。为克服语义缺失问题，部分研究提出基于AST子树恢复的语义保持型去混淆方法，如Invoke-Deobfuscation等，但在实际执行中仍受限于上下文信息缺失与代码多态性的干扰。综上，当前PowerShell脚本的去混淆研究仍面临如下关键挑战：

语义建模弱
上下文理解不足
与真实攻击样本适应性差

因此，亟需引入更具语义建模能力的技术框架以提升去混淆的智能化水平。

本文贡献可以总结如下：

提出了第一个指令级的动态PowerShell脚本去混淆方法。我们的方法是精确和通用的，它在脚本执行期间捕获正确的去混淆结果，然后用它们的恢复结果替换被混淆的脚本片段，以获得去混淆的脚本。
基于PowerShell 7构建了去混淆工具PowerPeeler。它可以通过动态跟踪准确获取样本的运行时信息，并通过脚本恢复正确重建去混淆结果。此外，它是跨平台的，与PowerShelll5兼容。
用两种不同的形式构建了两个高质量的数据集：使用PowerShell命令行界面的D-Script与4,264个混淆的脚本文件和D-Cmdline与381个混淆的样本，它们都包含具有多样性混淆方法的独特真实世界样本。
在PowerPeeler和最先进的工具之间进行全面和比较评估，证明PowerPeeler在几乎所有评估方面都表现出色。此外，与 GPT-4相比，它也表现出优越的性能。开源。为了促进未来的研究，开放了PowerPeeler的代码、评估数据集和我们在gite2上解混淆的结果。

三.本文框架

1.总体架构

PowerPeeler由两个组件组成——动态跟踪和脚本恢复。最初，PowerPeeler将混淆后的脚本解析为AST；随后，PowerPeeler继续将AST编译为表达式树，再转换为指令列表。通过监控整个转换过程，PowerPeeler能够将AST节点映射到各自的指令，混淆恢复成通常涉及的表达式。因此，PowerPeeler可以跟踪与AST表达相关的节点。各自的指令在内存中记录指令的执行结果。最后，PowerPeeler对这些执行结果进行字符串化，并替换相应的混淆片段，以获得去混淆的脚本。

在这里插入图片描述

本文主要分为八个部分：

解析（parse）：将混淆 PowerShell 脚本解析成抽象语法树 AST（Abstract Syntax Tree）。这一步识别出其中的语法结构，如赋值、调用、操作符等。形成了一个带有 UnaryExpressionAST（一元表达式节点）的 AST 树。
编译（compile）：PowerShell 会将 AST 编译为表达式树（Expression Tree）。每个语法节点（如 -join、变量引用）被转化为 Operator 和参数。
轻量编译（light compile）：编译器将表达式树进一步转化为指令（Instruction List）。Call(UnaryJoinOperator) 表示将执行 -join 操作。
执行（execute）：真正运行 PowerShell 脚本，逐条执行指令。我们在 PowerShell 引擎中插入动态追踪 hook，监控每条指令运行过程，记录执行堆栈 Evaluation Stack 的每一步结果（包括变量解引用、字符串拼接等）。
记录（record）：PowerPeeler 实时记录每条指令的运行结果。比如变量a的值是 “Power”，数组拼接后是 “PowerPeeler”。
字符化（stringify）：将指令运行结果转化为可还原脚本的字符串值。此处将 “PowerPeeler” 从动态过程提取为一个固定字符串。
替换（replace）：在 AST 中找到原始混淆节点（如 UnaryExpressionAST 中的 -join 结构），将其替换为字符串 “PowerPeeler”。替换后的 AST 节点表达了与执行结果语义一致但更简洁的内容。
重构（reconstruct）：对修改后的 AST 进行遍历，重建出清晰可读的去混淆脚本。最终输出结果：

 $a = 'Power''PowerPeeler'

在这里插入图片描述

2.动态跟踪（Dynamic Tracking）

动态跟踪模块是 PowerPeeler 的核心创新之一，其目标是精确捕捉 PowerShell 脚本在执行过程中每条指令的真实语义，以实现对混淆行为的准确还原。为实现指令级的动态监控，作者对 PowerShell 的底层执行引擎进行了改造，具体是在其执行框架中每条指令的 Run() 方法中插入钩子（hook）逻辑，从而实现对指令执行过程的实时捕获。

该模块的工作流程从脚本解析开始，首先将输入的 PowerShell 脚本转换为抽象语法树（AST），然后再编译为表达式树和最终的指令序列（Instruction List）。这些指令通常对应如变量赋值、函数调用、字符串拼接等操作。在脚本运行期间，PowerPeeler 会动态追踪每条指令的执行过程，将执行堆栈（Evaluation Stack）中的变化一一记录，包括变量的实际取值、函数执行结果、中间字符串构造过程等。

为保障运行环境的稳定性，PowerPeeler 引入了名为 NaObject 的特殊对象，用于替代可能因错误或不完整环境而导致失败的指令执行结果。这样做的好处是可以最大程度保留脚本语义的完整性，避免因单条指令失败导致整个去混淆流程中断。此外，为防止脚本在运行过程中执行潜在恶意行为（如访问网络、写入磁盘或重启系统），PowerPeeler 还对常见危险命令进行沙箱级限制与替换，确保追踪过程的安全可控。

在这里插入图片描述

通过这一指令级别的精细追踪机制，PowerPeeler 能够获取到静态方法难以恢复的混淆行为执行结果，极大增强了对复杂混淆技术的适应性和还原能力。

3.脚本恢复（Script Recovery）

在动态追踪完成之后，PowerPeeler 的脚本恢复模块负责将前面记录的指令执行结果转换为可读的、语义一致的 PowerShell 脚本，完成真正的“去混淆”任务。该模块采用一种“基于 AST 替换”的设计思路，即以原始语法结构为基础，将执行结果“注入”回源代码结构中，尽可能保留代码风格的同时消除混淆结构。

脚本恢复的第一步是对执行结果进行字符串化（stringify）。PowerPeeler将所有通过指令运行获得的中间值（如拼接字符串、变量值、函数输出）转换为标准 PowerShell 可识别的字符串表达形式。这一过程既要保持语法合法性，也要确保替代后的代码不引发新的运行错误。

接下来，系统会将这些字符串化的结果对齐至其对应的 AST 节点。PowerPeeler在动态跟踪阶段已建立了 AST 节点与指令之间的映射关系，因此可以精确定位到混淆代码所在的语法结构，如 -join、[Text.Encoding]::UTF8.GetString()、多层 IEX 嵌套等。一旦定位成功，脚本恢复模块便会将这些混淆结构替换为真实运行结果，例如将 -join(@($a, ‘Peeler’)) 替换为 ‘PowerPeeler’，并在必要时添加注释记录函数调用结果，防止在还原后重新运行时出现语义偏差。

在替换完所有混淆片段后，系统对更新后的 AST 树进行后序遍历，重新生成完整的 PowerShell 脚本文本。与仅输出去混淆字符串不同，PowerPeeler 的脚本恢复输出具有完整语法结构，适合后续自动化分析、威胁检测与溯源使用。

总的来说，脚本恢复模块通过将动态结果嵌入语法结构的方式，不仅保证了去混淆结果的可读性和可运行性，还保持了脚本的结构一致性和上下文逻辑，为真实场景中的安全分析提供了极大的便利。

四.实验结果分析

1.数据集

在网络安全公司的帮助下收集了1,736,669 wild PowerShell samples。构建了两个高质量的评估数据集，其中包含4,645个真实世界的混淆power - ershell样本，即D-Script和D-Cmdline。这两个数据集包含具有不同混淆特征的独特样本，代表了混淆PowerShell脚本的两种典型使用形式，即作为单独的文件使用或嵌入命令行参数。预处理后，最终得到D-Script数据集，其中包含4264个高度混淆的PowerShell脚本文件。

D-Script：Huajun Chai, Lingyun Ying, Haixin Duan, and Daren Zha. 2022. Invoke-deobfuscation: AST-based and semantics-preserving deobfuscation for PowerShell scripts. In 2022 52nd Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN)
D-Cmdline：Jeff White. 2017. Pulling Back the Curtains on EncodedCommand PowerShell Attacks. https://unit42.paloaltonetworks.com/unit42-pulling-back-the-curtainson-encodedcommand-powershell-attacks/.

2.解混淆能力评估（Deobfuscation Capability）

这部分评估各工具能还原多少种混淆手法。PowerShell 中的混淆技术分为 18 类（如 Base64 编码、命令拼接、别名、函数重载、加密等）；表格列出各工具对这18种技术的支持情况。结果显示：

PowerPeeler 是唯一能全面支持所有类型的系统，而其他工具通常只能应对 6~12 种；GPT-4 表现接近但不稳定，在控制流和函数嵌套结构中缺乏精确性。这证明 PowerPeeler 的指令级动态追踪具备更强的通用性和稳健性。

在这里插入图片描述

3.去混淆结果正确性（Result Correctness）

为了评估去混淆结果的正确性，我们利用开源混淆工具Invoke Obfuscation[21]来处理100个未混淆的PowerShell样本，其中包括来自网络安全公司的50个恶意样本和来自PowerShellCorpus[8]的其他50个良性样本。

在这里插入图片描述

此表展示了多个主流 PowerShell 去混淆工具在结果正确性方面的对比情况。PowerPeeler在该项评估中表现极为突出，不仅在所有 100 条复杂混淆脚本中都成功生成了有效输出，而且其中有 95 条与原始混淆脚本语义保持一致，准确率高达 95%。相比之下，其他静态工具如 PSD、PDR 和 PDC 表现相对较差，能够输出的结果数量有限，且语义还原能力极弱，仅有 0~4 条样本实现了正确还原。部分改进型工具如 LWD 和 IVD 虽然提升了有效输出率，但其语义一致性仍低于 PowerPeeler 一半。

值得注意的是，GPT-4 作为代表性的大语言模型，在处理混淆脚本时展现出一定理解能力，但受限于上下文窗口与对运行时语义的缺乏掌握，其准确率也未能超过 20%。综合来看，PowerPeeler 在应对真实世界多样化、复杂化的 PowerShell 混淆脚本方面展现出显著的精度优势和稳定性，验证了其在语义保留与实用检测中的领先地位。

4.敏感信息恢复（Sensitive Data Recovery）

表3展示了各类去混淆工具在恢复敏感信息方面的能力对比，重点涵盖了 IP 地址、URL、文件路径与注册表键值等四类典型情报字段。实验结果表明，PowerPeeler 在两个数据集上均显著优于所有对比工具。在 D-Script 文件型脚本中，PowerPeeler 成功提取了总计 15,834 条敏感信息，几乎是排名第二工具（GPT-4）的五倍；尤其在 URL 与文件路径恢复上表现出色，分别达 7,066 条和 6,819 条。相比之下，传统静态工具如 PSD、PDC 等虽然处理样本数多，但由于无法动态还原拼接语义，其提取结果较为有限。GPT-4 虽具自然语言处理优势，但缺乏运行时语义，仍存在较多漏报与误报。

在这里插入图片描述

在 D-Cmdline 命令行脚本中，PowerPeeler 同样领先，恢复了 433 条敏感字段，远超 GPT-4 的 308 条以及所有静态工具（多数在 40 条以下）。这一实验表明，PowerPeeler 具备在高度混淆、短上下文条件下还原攻击意图的能力，对于实际威胁分析和攻击溯源极具价值。整体来看，PowerPeeler 是当前最具敏感信息提取效果的 PowerShell 去混淆系统，能够显著提升安全团队对恶意脚本的理解效率与响应准确性。

5.语义一致性（Semantic Consistency）

表4评估了多个去混淆工具在语义一致性方面的能力，即输出脚本是否在执行结果上与原始混淆脚本保持完全一致。这一指标非常关键，因为仅有语法正确或结构清晰并不能保证脚本的功能未被破坏，只有语义一致才能证明真正还原了攻击者的意图。

在 D-Script 文件型脚本评估中，PowerPeeler 实现了 97.1% 的语义一致率，且成功处理了最多样本（3,421 条），在所有工具中表现最为出色。相比之下，传统工具如 PSD 和 PDR 虽然在有效样本中维持较高一致率（分别为 86.6%、80.5%），但处理样本总数较少，适用范围有限。改进型工具如 PDC 和 IVD 表现中等，一致率在 90%左右，但仍存在部分脚本功能丢失或重构错误的问题。

在这里插入图片描述

而对于 D-Cmdline 命令行脚本，PowerPeeler 的表现依旧领先，一致性高达 99.7%，处理样本数为 374 条。虽然 PSD 和 PDR 在该数据集上的一致率为 100%，但它们仅处理了 14 和 12 条样本，覆盖面极小，代表性不足。GPT-4 在命令行脚本上的一致性为 79.3%，明显低于 PowerPeeler，说明大语言模型在面对实际混淆场景时仍存在一定的不确定性与重构失误。LWD 与 IVD 在该类样本上一致性不足 75%，表现同样有限。

综上所述，PowerPeeler 在语义一致性维度展现了强大优势，不仅保持了高正确率，还支持大规模样本的稳定处理。其动态执行级追踪机制能够精确地还原混淆行为背后的真实语义，是当前最具语义保真能力的去混淆系统之一。这一能力对于安全分析、攻击溯源及威胁场景复现具有重要意义。

6.代码复杂性缓解（CodeComplexity Alleviation）

该图展示了各工具在去混淆后对 PowerShell 脚本的代码复杂度缓解效果，通过对原始混淆脚本与去混淆结果的复杂度比值进行对比，衡量脚本是否真正实现了简化、可读与可审计的重构目标。整体上，PowerPeeler 在两个数据集中均获得了最优的代码简化效果，表现出显著的结构还原优势。

在这里插入图片描述

在 D-Script 数据集中，PowerPeeler 所生成的去混淆脚本复杂度最低，其复杂度比值大约为 80% 左右，明显低于大多数对比工具。其中像 LWD、PDC 等工具虽然在部分混淆结构上实现了还原，但去混淆后保留了大量嵌套结构和字符串重拼接逻辑，导致代码冗长且难以解读。而 IVD 虽然在准确性方面表现尚可，但其代码结构复杂度远高于其他工具，在某些样本中甚至比混淆脚本还要复杂（如超过 100%），说明其还原过程存在结构膨胀问题。GPT-4 作为大语言模型，去混淆后虽然形式自然，但因格式不稳定、未能系统性重构结构，其复杂度控制也不如 PowerPeeler。

在 D-Cmdline 数据集中，PowerPeeler 同样取得了最好的简化效果，其代码复杂度约为 75% 左右。命令行脚本原本就结构短小、混淆程度高，因此去混淆的简洁性尤为关键。GPT-4 和静态工具如 PSD、PDR 均在该维度表现不佳，特别是 GPT-4 常在输出中引入注释性冗余或语法残缺，导致脚本看似自然却在结构上并不清晰。PowerPeeler 通过指令级重构与结构清理，在保证语义一致的同时，有效移除了冗余语句、嵌套函数与中间变量，显著降低了代码阅读与审计成本。

整体来看，此图体现出 PowerPeeler 不仅在功能正确性方面表现优越，在代码可读性、工程化实用性方面也具有明显优势。这种“还原即简化”的能力对于安全分析人员在快速响应攻击、审计可疑脚本时具有重要意义，也凸显了 PowerPeeler 的工程落地价值。

在这里插入图片描述

五.相关工作

针对恶意 PowerShell 脚本的检测与还原，已有诸多研究从不同维度尝试解决混淆带来的分析挑战。早期方法主要依赖静态分析与特征匹配技术，如 PowerShell Decoder（PSD）、PowerDrive、IVD 等工具，它们大多基于语法规则、字符串模式或抽象语法树（AST）结构进行脚本解析。这类方法在处理基础字符串重构、简单 -join 操作时效果尚可，但面对多层嵌套、变量动态绑定或控制流重排等复杂混淆结构时，往往缺乏足够的上下文语义支撑，容易导致误判或还原不全。

另一方面，近年来也有部分研究尝试引入语义建模与机器学习方法。例如 GPT-4 等大语言模型具备较强的自然语言理解与代码生成能力，被探索用于脚本去混淆任务。尽管这些模型在部分场景下表现出良好的语义解释能力，但由于其缺乏对运行时上下文的把控与变量执行追踪能力，仍无法精确还原由混淆技术动态构造出的脚本逻辑，尤其是在多阶段嵌套调用与函数链重组情境下表现不稳定。

与上述方法相比，PowerPeeler 提出了全新的指令级动态分析框架，首次在 PowerShell 执行过程中插入运行时钩子，实现了精细化的语义追踪与实时还原。其与静态工具相比显著提升了混淆还原的覆盖率，与大模型相比则在语义一致性与结构完整性上展现出更高可靠性，从而填补了当前去混淆技术在“精确性与通用性”之间的空白。

六.总结

本文提出了 PowerPeeler，一款精确且通用的 PowerShell 动态去混淆系统。与以往依赖静态语法解析或大模型语义生成的方法不同，PowerPeeler 以 PowerShell 指令为核心执行单元，构建了基于运行时行为的语义还原流程，具备以下几方面的创新性和实用价值：

首先，PowerPeeler 能够通过在 PowerShell 执行引擎中插入指令级 Hook，实现对每条指令运行语义的实时追踪，从而准确捕获变量绑定、字符串拼接、函数调用等混淆语义。其次，系统在获取执行语义后，结合 AST 语法树与指令映射机制，逐节点替换混淆结构，实现语义一致、结构清晰的脚本还原。此外，PowerPeeler 在面对多阶段嵌套结构、控制流构造与脚本重编码场景下，表现出显著的泛化能力与稳健性。
大规模实验评估表明，PowerPeeler 在真实恶意脚本数据集上表现出远优于现有工具的效果：支持最多类型的混淆策略，准确率达到 95%，敏感信息恢复数量超 15,000 条，语义一致性高达 99.7%，且代码结构最简洁。与 GPT-4 等先进模型相比，PowerPeeler 的执行一致性与信息完整性更强，具备更好的工程可部署性。

总而言之，PowerPeeler 为 PowerShell 脚本的去混淆分析提供了新的技术路径，不仅提升了检测的准确性和解释性，也为未来的恶意脚本语义还原、威胁情报提取与安全审计等任务奠定了坚实基础。

2024年4月28日是Eastmount的安全星球——『网络攻防和AI安全之家』正式创建和运营的日子，该星球目前主营业务为安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券，欢迎新老博友和朋友加入，一起分享更多安全知识，比较良心的星球，非常适合初学者和换安全专业的读者学习。

目前收到了很多博友、朋友和老师的支持和点赞，尤其是一些看了我文章多年的老粉，购买来感谢，真的很感动，类目。未来，我将分享更多高质量文章，更多安全干货，真心帮助到大家。虽然起步晚，但贵在坚持，像十多年如一日的博客分享那样，脚踏实地，只争朝夕。继续加油，再次感谢！

(By:Eastmount 2025-06-27 周四夜于贵阳 http://blog.csdn.net/eastmount/ )

前文赏析：

[论文阅读] (01)拿什么来拯救我的拖延症？初学者如何提升编程兴趣及LATEX入门详解
[论文阅读] (02)SP2019-Neural Cleanse: Identifying and Mitigating Backdoor Attacks in DNN
[论文阅读] (03)清华张超老师 - GreyOne: Discover Vulnerabilities with Data Flow Sensitive Fuzzing
[论文阅读] (04)人工智能真的安全吗？浙大团队外滩大会分享AI对抗样本技术
[论文阅读] (05)NLP知识总结及NLP论文撰写之道——Pvop老师
[论文阅读] (06)万字详解什么是生成对抗网络GAN？经典论文及案例普及
[论文阅读] (07)RAID2020 Cyber Threat Intelligence Modeling Based on Heterogeneous GCN
[论文阅读] (08)NDSS2020 UNICORN: Runtime Provenance-Based Detector for Advanced Persistent Threats
[论文阅读] (09)S&P2019 HOLMES Real-time APT Detection through Correlation of Suspicious Information Flow
[论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结
[论文阅读] (11)ACE算法和暗通道先验图像去雾算法（Rizzi | 何恺明老师）
[论文阅读] (12)英文论文引言introduction如何撰写及精句摘抄——以入侵检测系统(IDS)为例
[论文阅读] (13)英文论文模型设计（Model Design）如何撰写及精句摘抄——以入侵检测系统(IDS)为例
[论文阅读] (14)英文论文实验评估（Evaluation）如何撰写及精句摘抄（上）——以入侵检测系统(IDS)为例
[论文阅读] (15)英文SCI论文审稿意见及应对策略学习笔记总结
[论文阅读] (16)Powershell恶意代码检测论文总结及抽象语法树（AST）提取
[论文阅读] (17)CCS2019 针对PowerShell脚本的轻量级去混淆和语义感知攻击检测
[论文阅读] (18)英文论文Model Design和Overview如何撰写及精句摘抄——以系统AI安全顶会为例
[论文阅读] (19)英文论文Evaluation（实验数据集、指标和环境）如何描述及精句摘抄——以系统AI安全顶会为例
[论文阅读] (20)USENIXSec21 DeepReflect：通过二进制重构发现恶意功能（恶意代码ROI分析经典）
[论文阅读] (21)S&P21 Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land (经典离地攻击)
[论文阅读] (22)图神经网络及认知推理总结和普及-清华唐杰老师
[论文阅读] (23)恶意代码作者溯源(去匿名化)经典论文阅读：二进制和源代码对比
[论文阅读] (24)向量表征：从Word2vec和Doc2vec到Deepwalk和Graph2vec，再到Asm2vec和Log2vec（一）
[论文阅读] (25)向量表征经典之DeepWalk：从Word2vec到DeepWalk，再到Asm2vec和Log2vec（二）
[论文阅读] (26)基于Excel可视化分析的论文实验图表绘制总结——以电影市场为例
[论文阅读] (27)AAAI20 Order Matters: 二进制代码相似性检测（腾讯科恩实验室）
[论文阅读] (28)李沐老师视频学习——1.研究的艺术·跟读者建立联系
[论文阅读] (29)李沐老师视频学习——2.研究的艺术·明白问题的重要性
[论文阅读] (30)李沐老师视频学习——3.研究的艺术·讲好故事和论点
[论文阅读] (31)李沐老师视频学习——4.研究的艺术·理由、论据和担保
[论文阅读] (32)南洋理工大学刘杨教授——网络空间安全和AIGC整合之道学习笔记及强推（InForSec）
[论文阅读] (33)NDSS2024 Summer系统安全和恶意代码分析方向相关论文汇总
[论文阅读] (34)EWAS2024 基于SGDC的轻量级入侵检测系统
[论文阅读] (35)TIFS24 MEGR-APT：基于攻击表示学习的高效内存APT猎杀系统
[论文阅读] (36)C&S22 MPSAutodetect：基于自编码器的恶意Powershell脚本检测模型
[论文阅读] (37)CCS21 DeepAID：基于深度学习的异常检测（解释）
[论文阅读] (38)基于大模型的威胁情报分析与知识图谱构建论文总结（读书笔记）
[论文阅读] (39)EuroS&P25 CTINEXUS：基于大模型的威胁情报知识图谱自动构建
[论文阅读] (40)CCS24 PowerPeeler：一种通用的PowerShell脚本动态去混淆方法