powershell脚本的一个告警，提取的内部命令

显示全部楼层 · 发表于 2023-2-23 15:59:38

有大佬能看看这个powershell命令是否未远控执行
powershell.exe -ExecutionPolicy Restricted -Command $Res = 0; $Infs = Get-Item -Path ($env:WinDir + '\inf\*.inf'); foreach ($Inf in $Infs) { $Data = Get-Content $Inf.FullName; if ($Data -match '\[defaultinstall.nt(amd64|arm|arm64|x86)\]') { $Res = 1; break; } } Write-Host 'Final result:', $Res;

显示全部楼层 · 发表于 2023-3-3 13:49:08

我们也遇到了类似问题，是从2月23日开始发现的。深信服EDR有拦截记录，被判定是无文件攻击。但是用symantec、360没扫出什么东西。
用ChatGPT分析了一下可能跟驱动有关系。不知道有没有大佬做过深入研究。

显示全部楼层 · 发表于 2023-3-7 09:11:03

Tyokon 发表于 2023-3-3 13:49
我们也遇到了类似问题，是从2月23日开始发现的。深信服EDR有拦截记录，被判定是无文件攻击。但是用symantec ...

我咋没想到用chatgpt分析呢QAQ，这个命令大概是一个查询命令，没有其他实际操作，也没搞清楚是哪个程序执行的命令

显示全部楼层 · 发表于 2023-3-25 16:54:23

kingsoft 无文件

[未鉴定] powershell脚本的一个告警，提取的内部命令