查看: 3850|回复: 3
收起左侧

[未鉴定] powershell脚本的一个告警,提取的内部命令

[复制链接]
卡帆卡
发表于 2023-2-23 15:59:38 | 显示全部楼层 |阅读模式
有大佬能看看这个powershell命令是否未远控执行
powershell.exe -ExecutionPolicy Restricted -Command  $Res = 0; $Infs = Get-Item -Path ($env:WinDir + '\inf\*.inf'); foreach ($Inf in $Infs) { $Data = Get-Content $Inf.FullName; if ($Data -match '\[defaultinstall.nt(amd64|arm|arm64|x86)\]') { $Res = 1; break; } } Write-Host 'Final result:', $Res;

Tyokon
发表于 2023-3-3 13:49:08 | 显示全部楼层
我们也遇到了类似问题,是从2月23日开始发现的。深信服EDR有拦截记录,被判定是无文件攻击。但是用symantec、360没扫出什么东西。
用ChatGPT分析了一下可能跟驱动有关系。不知道有没有大佬做过深入研究。
分析1.png
分析2.png
卡帆卡
 楼主| 发表于 2023-3-7 09:11:03 | 显示全部楼层
Tyokon 发表于 2023-3-3 13:49
我们也遇到了类似问题,是从2月23日开始发现的。深信服EDR有拦截记录,被判定是无文件攻击。但是用symantec ...

我咋没想到用chatgpt分析呢QAQ,这个命令大概是一个查询命令,没有其他实际操作,也没搞清楚是哪个程序执行的命令
administartor
发表于 2023-3-25 16:54:23 | 显示全部楼层
kingsoft 无文件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-16 14:48 , Processed in 0.133091 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表