当使用 __PSLockDownPolicy 时绕过 PowerShell 约束语言模式的技术分析

qife

07-18

本文详细分析了当通过环境变量__PSLockDownPolicy错误启用PowerShell约束语言模式(CLM)时，攻击者如何利用文件命名规范绕过限制的技术原理，并提供了实际测试案例。文章揭示了微软未公开的系统32路径绕过机制，对蓝队防御策略具有重要参考价值。