我最近注意到Sysmon记录了一个Powershell事件,该事件在Windows Temp文件夹中创建了一个文件。
例如,这是PS脚本的名称:
C:\\Windows\\Temp\\xgyxfpqs.ilw.ps1
我想知道这是什么原因,尤其是这些文件是否是某些恶意活动的产物。名称模式始终相同,但实际字符不同。
因为我调查了 PS脚本策略测试的类似问题。但是,在那种情况下,您会在目录路径'__PSScriptPolicyTest_'中清楚地看到上述路径中没有的路径-尽管它仍然遵循 8个字符'的模式。 3个字符。
任何见解都会有用。