我如何读取在后台运行的Powershell脚本的内容？

Question

我通过ProcessExplorer得到这行

C：\\ Windows \\ System32 \\ WindowsPowerShell \\ v1.0 \\ powershell.exe“ -noprofile -windowstyle隐藏-executionpolicy绕过iex（[Text.Encoding] :: ASCII.GetString（[Convert] :: FromBase64String（（gp'HKCU： \\ Software \\ Classes \\ ZXWNMNLIMAGAL'）。LOOTDA）））;

看起来可疑还是正常？ 这是否意味着脚本保存在注册表中而不是文件中？ 怎么看呢？

编辑：现在，当我在注册表上阅读此文件时，我确定它可以是编码的病毒：

Google更新REG_SZ
“ C：\\ Users \\ michael \\ AppData \\ Local \\ Google \\ Update \\ GoogleUpdate.exe” / c {BE9473EA-5660-4BF7-91C3-2A2258213EE1} REG_SZ C：\\ Windows \\ system32 \\ WindowsPowerShell \\ v1.0 \\ powershell.exe -noprofile -windowstyle隐藏的-executionpolicy绕过iex（[Text.Encoding] :: ASCII.GetString（[Convert] :: FromBase64String（（gp'HKCU：\\ Software \\ Classes \\ ZXWNMNLIMAGAL'）。LOOTDA）））;

编辑于29/03/2016 @ 15:55

如果有人想继续进行讨论，我在这里要求它对这种病毒进行解码：

如何从注册表中读取此编码的Powershell脚本的源代码？

Answer 1

C：\\ Windows \\ System32 \\ WindowsPowerShell \\ v1.0 \\ powershell.exe“ -noprofile -windowstyle隐藏-executionpolicy绕过iex（[Text.Encoding] :: ASCII.GetString（[Convert] :: FromBase64String（（gp'HKCU： \\ Software \\ Classes \\ ZXWNMNLIMAGAL'）。LOOTDA）））;

此代码意味着PowerShell将在没有窗口的情况下执行，并绕过ExecutionPolicy限制，该命令来自注册表项HKCU:\\Software\\Classes\\ZXWNMNLIMAGAL （base64编码）。

在我看来像是病毒。

如果在PowerShell控制台中执行以下代码，则可以标识命令：

([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\ZXWNMNLIMAGAL').LOOTDA)))

这将向您显示打算执行什么。

Answer 2

我也一样 我不确定，但这将是在Powershell中运行的隐藏脚本。 该脚本可能是网络钓鱼。 我认为我的电子邮件发送给我的Outlook联系人。

我如何读取在后台运行的Powershell脚本的内容？

问题描述

2 个解决方案

解决方案1
1 已采纳 2016-03-29 09:54:45

解决方案2
1 2016-03-29 13:18:42

我如何读取在后台运行的Powershell脚本的内容？

问题描述

2 个解决方案

解决方案1 1 已采纳 2016-03-29 09:54:45

解决方案2 1 2016-03-29 13:18:42

解决方案1
1 已采纳 2016-03-29 09:54:45

解决方案2
1 2016-03-29 13:18:42