搜索

[13740] 2019-02-08_从PowerShell内存转储中提取执行的脚本内容

文档创建者:s7ckTeam
浏览次数:18
最后更新:2025-01-18
2019-02-08_从PowerShell内存转储中提取执行的脚本内容 P o w e r S h e l l   F r e e B u f   2 0 1 9 - 0 2 - 0 8 P o w e r S h e l l 使 使 , W i n D b g W i n D b g P o w e r S h e l l 使 W i n D b g C o n n e c t - D b g S e s s i o n   - A r g u m e n t L i s t   ' - z   " C : U s e r s l e e A p p D a t a L o c a l T e m p p o w e r s h e l l . D M P " '
使 S O S 使 - T y p e 使 ( ) S O S 使 A d d - M e m b e r S O S G U I D S O S ? P o w e r S h e l l 7 S y s t e m . S t r i n g G U I D S y s t e m . S t r i n g 使 使 G U I D 使 S O S   ,   -   5 ( S y s t e m . O b j e c t [ ] ) P o w e r S h e l l   A S T G U I D A S T 4 D u m p H e a p $ a l l R e f e r e n c e s   =   d b g   ! d u m p h e a p   - s h o r t d o $   a l l O b j e c t s   =   $   a l l R e f e r e n c e s   |   F o r e a c h - O b j e c t   { $   o b j e c t   =   d b g d o   $   ;   A d d - M e m b e r   - I n p u t O b j e c t   $   o b j e c t   A d d r e s s   $   - P a s s T h r u   - F o r c e } $ a l l R e f e r e n c e s   =   d b g   ! d u m p h e a p   t y p e   S y s t e m . S t r i n g   s h o r t $   a l l O b j e c t s g c r o o t g c r o o t C o n c u r r e n t D i c t i o n a r y S c r i p t B l o c k C o m p i l e d S c r i p t B l o c k D a t a
0 0 0 0 0 2 6 e 1 0 1 e 9 a 4 0 C o n c u r r e n t D i c t i o n a r y 0 0 0 0 0 2 6 e 0 0 3 b c 4 4 0 P o w e r S h e l l   S o u r c e C o n c u r r e n t D i c t i o n a r y S c r i p t B l o c k T u p l e   -   S c r i p t B l o c k C o m p i l e d S c r i p t B l o c k s _ c a c h e d S c r i p t s
P o w e r S h e l l 西 S c r i p t B l o c k A S T 西 西 1 .   使 d u m p h e a p T u p l e d u m p h e a p 使 2 .   M T 3 .   使 M T d u m p h e a p m _ k e y
P o w e r S h e l l . * * l e e h o l m e s F r e e B u f . C O M f u n c t i o n   G e t - S c r i p t B l o c k C a c h e {         $ n o d e T y p e   =   d b g   ! d u m p h e a p   - t y p e   C o n c u r r e n t D i c t i o n a r y   |                 S e l e c t - S t r i n g   ' C o n c u r r e n t D i c t i o n a r y . N o d e . T u p l e . S t r i n g . S t r i n g . ] ] $ '         $ n o d e M T   =   $ n o d e T y p e   |   C o n v e r t F r o m - S t r i n g   |   F o r e a c h - O b j e c t   P 1         $ n o d e A d d r e s s e s   =   d b g   ! d u m p h e a p   - m t   $ n o d e M T   - s h o r t         $ k e y s   =   $ n o d e A d d r e s s e s   |   %   {   d b g   ! d o   $ _   }   |   S e l e c t - S t r i n g   m _ k e y         $ k e y A d d r e s s e s   =   $ k e y s   |   C o n v e r t F r o m - S t r i n g   |   F o r e a c h - O b j e c t   P 7         f o r e a c h ( $ k e y A d d r e s s   i n   $ k e y A d d r e s s e s )   {                                             $ k e y O b j e c t   =   d b g   ! d o   $ k e y A d d r e s s                 $ i t e m 1   =   $ k e y O b j e c t   |   S e l e c t - S t r i n g   m _ I t e m 1   |   C o n v e r t F r o m - S t r i n g   |   %   P 7                                             $ s t r i n g 1   =   d b g   ! d o   $ i t e m 1   |   S e l e c t - S t r i n g   ' S t r i n g : s + ( . ) '   |   %   {   $ _ . M a t c h e s . G r o u p s [ 1 ] . V a l u e   }                 $ i t e m 2   =   $ k e y O b j e c t   |   S e l e c t - S t r i n g   m I t e m 2   |   C o n v e r t F r o m - S t r i n g   |   %   P 7                                             $ s t r i n g 2   =   d b g   ! d o   $ i t e m 2   |   S e l e c t - S t r i n g   ' S t r i n g : s + ( . * ) '   |   %   {   $ . M a t c h e s . G r o u p s [ 1 ] . V a l u e   }                 [ P S C u s t o m O b j e c t ]   @ {   P a t h   =   $ s t r i n g 1 ;   C o n t e n t   =   $ s t r i n g 2   }                                     }                             }
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理