5cfdf61c454c1fc5e9f0fcad2d12d5ef.ps1Ich habe auf meinem Computer ein Skript mit dem Namen gefunden :
$pyfwthc = # this is just a TON of random letters and numbers didnt wanna waste the space and its probably not important (encrypted maybe?)
$sstring = ConvertTo-SecureString $pyfwthc
$script = (New-Object system.Management.Automation.PSCredential("pyfwthc", $sstring)).GetNetworkCredential().Password
Invoke-Expression $script
Ist das etwas, worüber ich mir Sorgen machen sollte?
Antwort1
Lassen Sie es uns aufschlüsseln.
- Die erste Zeile speichert diesen großen String in einer Variablen namens „pyfwthc“.
- Die zweite Zeile „Konvertiert verschlüsselte Standardzeichenfolgen in sichere Zeichenfolgen“, dies dient dem Schutz des Passworts: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/convertto-securestring?view=powershell-5.1
- Die dritte Zeile erstellt eine PowerShell-Anmeldeinformation, die zur Authentifizierung anderer Befehle aus einem PowerShell-Skript verwendet werden kann, ohne das Kennwort preiszugeben. Anschließend wird das Kennwort aus dieser Anmeldeinformation extrahiert. Dadurch wird die verschlüsselte Zeichenfolge in Klartext umgewandelt.
- Die vierte Zeile führt das „Passwort“ als Befehl aus:https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/invoke-expression?view=powershell-5.1
UPDATE: Wie andere Benutzer bereits angemerkt haben, wird die Kennwortzeichenfolge als Befehl ausgeführt. Sie möchten den Wert von $script in eine Datei schreiben, damit Sie sehen können, was ausgeführt wird:
Entfernen Sie die letzte Zeile aus dem Skript und führen Sie Folgendes aus:
echo $script > this_is_the_script.file