SCCM 应用程序检测-加密的 powershell 脚本

Question

这可以使用 -EncodedCommand 参数来完成。您可以将脚本导出到 base64 编码文件中，然后调用另一个 powershell exe 来运行它。这是一个非常基本的示例：

$string = 'If (Get-Process) {$true}'
$encodedcommand = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($string))
$encodedcommand | Out-File c:\temp\Encoded.txt

$encodedcommand = Get-Content c:\temp\Encoded.txt
powershell.exe -EncodedCommand $encodedcommand

检测脚本就是最后两行。参考：PowerTip：编码字符串并使用 PowerShell 执行

Answer 1

这可以使用 -EncodedCommand 参数来完成。您可以将脚本导出到 base64 编码文件中，然后调用另一个 powershell exe 来运行它。这是一个非常基本的示例：

$string = 'If (Get-Process) {$true}'
$encodedcommand = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($string))
$encodedcommand | Out-File c:\temp\Encoded.txt

$encodedcommand = Get-Content c:\temp\Encoded.txt
powershell.exe -EncodedCommand $encodedcommand

检测脚本就是最后两行。参考：PowerTip：编码字符串并使用 PowerShell 执行

SCCM 应用程序检测-加密的 powershell 脚本

答案1

相关内容