文件名称:PSDecode:用于模糊化已编码的PowerShell脚本的PowerShell脚本
文件大小:19KB
文件格式:ZIP
更新时间:2024-06-12 15:24:53
PowerShell
PS解码 这是用于模糊化其他编码的PowerShell脚本的PowerShell脚本。 通常,恶意的PowerShell脚本具有多层编码(替换,Base64Decode等),一旦解码,它们就会通过调用Invoke-Expression(IEX,&、.),Invoke-Command等来执行。该脚本采用了一种称为方法重写的技术,该技术使我们能够从本质上拦截在此脚本中已说明的函数调用,并打印出传递给该函数的参数(也就是该脚本试图执行的操作)。 **重要说明#1:仅在隔离的沙箱中运行此脚本。 如果已编码的Powershell尝试执行我未解释的功能,则有可能执行** **重要说明#2:PowerShell的默认执行策略是受限制的,如果您不大量使用PowerShell,当您运行该脚本时,它会给您一个错误,指出“ PSDecode无法加载,因为执行了在此系统上禁用了脚本”。 如果收到此消息,则需要
【文件预览】:
PSDecode-master
----PSDecode.psm1(30KB)
----README.md(21KB)
----emotet_pw_infected.zip(6KB)