如何读取后台运行的powershell脚本的内容?
我通过ProcessExplorer获得这一行 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe“-noprofile -WindowsStyle隐藏-executionpolicy绕过iex([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp “HKCU:\Software\Classes\ZXWNMNLIMAGAL”).LOOTDA) 看起来可疑还是正常? 这是否意味着脚本保存在注册表中而不是文件中?如何读取 编辑: 现在,当我在注册表上读到这篇文章时,我确信这可能是一个编码病毒: Google Update REG_SZ如何读取后台运行的powershell脚本的内容?,powershell,batch-file,Powershell,Batch File,我通过ProcessExplorer获得这一行 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe“-noprofile -WindowsStyle隐藏-executionpolicy绕过iex([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp “HKCU:\Software\Classes\ZXWNMNLIMAGAL”).LOOTDA) 看起来可疑还是
“C:\Users\michael\AppData\Local\Google\Update\GoogleUpdate.exe”/C {BE9473EA-5660-4BF7-91C3-2A2258213EE1}REG_SZ C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe-noprofile -WindowsStyle隐藏-executionpolicy绕过iex([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp “HKCU:\Software\Classes\ZXWNMNLIMAGAL”).LOOTDA) 于2016年3月29日15:55编辑 如果有人想继续讨论,我请它在这里解码这个病毒: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe“-noprofile -WindowsStyle隐藏-executionpolicy绕过iex([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp “HKCU:\Software\Classes\ZXWNMNLIMAGAL”).LOOTDA) 此代码意味着PowerShell将在没有窗口的情况下执行,并绕过执行策略限制,从注册表项
HKCU:\Software\Classes\ZXWNMNLIMAGAL([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\ZXWNMNLIMAGAL').LOOTDA)))
这将向您显示要执行的操作。我也得到了同样的结果。我不确定,但这将是在powershell中运行的隐藏脚本。该脚本可能是网络钓鱼脚本。我想我的脚本会向outlook联系人发送电子邮件。脚本只读取并转换(从base64)HKCU:\Software\Classes\ZXWNMNLIMAGAL\LOOTDA的值。脚本既没有保存在文件中,也没有保存在注册表中,它只是读取一个键。@jisaak那么
iex