Недавно я заметил, что Sysmon регистрирует событие Powershell, создавая файл в папке Windows Temp.
Например, это имя сценария PS:
C:\\Windows\\Temp\\xgyxfpqs.ilw.ps1
Я бы хотелзнать, что является причиной этого, и особенно, являются ли такие файлы продуктом какой-либо вредоносной деятельности.Шаблон имени всегда одинаков, но фактические символы различаются.
Поскольку я исследовал похожую проблему с PS Script Policy Test .Однако в этом случае вы четко увидите в пути к каталогу «__PSScriptPolicyTest_», которого нет в вышеприведенном сценарии, хотя он по-прежнему следует шаблону 8 символов '.'3 символа .
Любые идеи будут полезны.