powershel リモートコマンド実行の問題

aipipi 受付中最終更新日:2020-09-03 14:45

送信先のversion領域がわからないため、ウイルス領域にも送信しました.必要に応じて、移動または削除できます...コンピュータのログには常にPowerShellと表示されますProcess in process ...:IPCリスニングスレッドが有効になっています......次に警告が表示され、リモートコマンドPowerShellが実行され、Scriptblockが作成されていますテキスト、背後に多くのコマンドがあり、私はコンピュータの初心者であり、PowerShellを開いたり操作したりしていません.これは正常ですか、それとも攻撃されていますか?たとえば、今日のログ情報は次のとおりです:/p>Scriptblockテキストの作成(1完了、合計1):
＃Copyright?2008、Microsoft Corporation .無断複写・転載を禁じます.
＃一般的なユーティリティ関数
Import-LocalizedData-BindingVariable localizationString-FileName CL_LocalizationData
＃ユーザーのトラブルシューティング履歴を取得する関数
function Get-UserTSHistoryPath {
return "$ {env:localappdata}\diagnostics"
}
＃管理者のトラブルシューティング履歴を取得する関数
function Get-AdminTSHistoryPath {
return "$ {env:localappdata}\elevateddiagnostics"
}
＃ユーザーレポートフォルダーのパスを取得する関数
function Get-UserReportPath {
return "$ {env:localappdata}\Microsoft\Windows\WER\ReportQueue"
}
＃システムレポートフォルダーのパスを取得する関数
関数Get-MachineReportPath {
return "$ {env:AllUsersProfile}\Microsoft\Windows\WER\ReportQueue"
}
＃フォルダが古いかどうかを確認するためのしきい値を取得する関数
関数Get-ThresholdForCheckOlderFile {
[int] $ threshold=-1
$ thresholdを返す
}
＃WERフォルダーを削除するためのしきい値を取得する関数
function Get-ThresholdForFileDeleting(){
[string] $ registryEntryPath="HKLM:\SOFjpARE\Microsoft\Windows\WindowsError Reporting "
[string] $ registryEntryName="PurgeThreshholdValueInKB "
[double] $ defaultValue=10.0 return Get-RegistryValue $ registryEntryPath $ registryEntryName $ defaultValue
}
＃kbでディレクトリのサイズを取得する関数
function Get-FolderSize([string] $ folder=$(throw "No folder is specified")){
if([String] :: IsNullOrEmpty($ folder)-or(-not(Test-Path $ folder))){
return 0
} if(-not $ Global:DirectoryObject){<br>$ Global:DirectoryObject=New-Object-comobject "Scripting.FileSystemObject"
} return($ Global:DirectoryObject.GetFolder($ folder).Size)/1kb
}
＃フォルダを削除する関数
関数Delete-Folder([string] $ folder=$(throw "No folder is specified")){
if ([String] :: IsNullOrEmpty($ folder)-or(-not(Test-Path $ folder))){
return
} Remove-Item-literalPath $ folder-Recurse-Force
}
＃古いフォルダを削除する関数
関数Delete-OldFolders($ folder=$(throw "No folder is specified")){
if(($ folder-eq $ null)-or(-not(Test-Path $ folder))){
return
} [int] $ threshold=Get-ThresholdForCheckOlderFile
$ folders=Get-ChildItem-LiteralPath($ folder.FullName)-Force|Where-Object {$ _.PSIsContainer}
if($ folders-ne $ null){
foreach($ folder in $ folders){
if((($ folder.CreationTime).compareTo((Get- Date).AddMonths($ threshold)))-lt 0){
Delete-Folder($ folder.FullName)
}そうでなければ{
Delete- OldFolders(Get-Item($ folder.FullName))
}
}
}
}
＃レジストリ値を取得する関数
function Get-RegistryValue([string] $ registryEntryPath=$(throw "No registry entry path is specified")、[string] $ registryEntryName=$ (「レジストリエントリ名が指定されていません」をスローします)、[double] $ defaultValue=0.0){
[double] $ registryEntryValue=$ defaultValue $ registryEntry=Get-ItemProperty-Path $ registryEntryPath-Name $ registryEntryName<br>if($ registryEntry-ne $ null){<br>$ registryEntryValue=$ registryEntry.$ registryEntryName
} return $ registryEntryValue
}
＃WERキューが使用できるパーセンテージを取得する関数
function Get-Percentage(){
[string] $ registryEntryPath="HKLM:\SOFjpARE\Microsoft\Windows\Windows Error Reporting "
[string] $ registryEntryName="MaxQueueSizePercentage "
[double] $ defaultValue=100.0 return Get-RegistryValue $ registryEntryPath $ registryEntryName $ defaultValue
}
＃マシンの空きディスク容量を取得する関数
function Get-FreeSpace {
[double] $ freeSpace=0.0
[string ] $ wql="SELECT* FROM Win32_LogicalDisk WHERE MediaType=12"
$ drives=Get-WmiObject-query $ wql
if($ null-ne $ drives){
foreach($ drive in $ drives){
$ freeSpace + =($ drive.freeSpace)
}
} return($ freeSpace/1KB)
}
＃すべての不要なファイルを取得する関数
function Get-UnnecessaryFiles([string] $ folder=$(throw "No folder is specified")){
if([String] :: IsNullOrEmpty($ folder)-or(-not(Test-Path $ folder))){
return $ null
} [int] $ threshold=Get-ThresholdForCheckOlderFile return(Get-ChildItem-literalPath $ folder-Recurse-Force|Where-Object {($ _.PSIsContainer)-and((($ _.CreationTime).compareTo((Get-Date).AddMonths($ threshold )))-lt 0)})
}
＃ディスクスペースをフォーマットする関数(KB->MB)
function Format-DiskSpaceMB([double] $ space=$(throw "No space is specified")){
return [string]([Math] :: Round(($ space/1KB)、3))
}
＃ディスク領域をフォーマットする関数(B->GB)
関数Format-DiskSpaceGB([double] $ space=$(throw "No space is specified")){
return [string]([Math] :: Round(($ space/1GB)、3))
}
＃区切り記号「/」を使用してアイテムをリストに添付する関数
関数AttachTo-List([string] $ list=$(throw "No list is specified")、[string ] $ item=$(throw "アイテムが指定されていません"))
{
if([String] :: IsNullOrEmpty($ list))
{
返品$ item
} if([String] :: IsNullOrEmpty($ item))
{
return $ list
} return $ list + "/" + $ item
}
＃区切り文字「/」を使用してリストを解析する関数
関数Parse-List([string] $ list=$(throw "No list is specified"))
{
if($ list-eq $ null)
{
return $ null
} return $ list.Split( "/"、[StringSplitOptions] :: RemoveEmptyEntries)
}
＃リストの長さを取得する関数
関数Get-ListLength([string] $ list=$(throw "No list is specified"))
{
if($ list-eq $ null)
{
return 0
} $ result=Parse-List $ list

if($ result-is [string])
{
return 1
}
elseif($ result-is [ object []])
{
return $ result.count
}
else
{
return 0

}
}
＃WQLパスに変換する関数
function ConvertTo-WQLPath([string] $ wqlPath=$(throw "No WQL path is specified"))
{
if($ wqlPath-eq $ null)
{
return ""
} return $ wqlPath.Replace( "\"、 "\\")
}
＃ショートカットが有効かどうかを確認する関数
function Test-ValidLink([Wmi] $ wmiLinkFile=$(throw "No WMI link file is specified"))
{
if(($ wmiLinkFile-eq $ null)-or([String] :: IsNullOrEmpty($ wmiLinkFile.Target)))
{
戻り$ false
} return Test-Path $ wmiLinkFile.Target
}
＃ショートカットファイルを削除する権限があるかどうかを確認する関数
function Test-Delete([Wmi] $ wmiLinkFile=$(throw "No WMI link file is specified"))
{
if($ wmiLinkFile-eq $ null)
{
return $ false
} return($ wmiLinkFile.AccessMask-band 0x10000)-eq 0x10000
}
＃デスクトップパスを取得する関数
function Get-DesktopPath()
{
$methodDefinition=@ "
public static string GetDesktopPath
{
get
{
return Environment.GetFolderPath(Environment.SpecialFolder.DesktopDirectory);
}
}
"@

$ type=Add-Type-MemberDefinition $ methodDefinition-Name "DesktopPath"-PassThru
return $ type :: GetDesktopPath

}
＃スタートアップパスを取得する関数
function Get-StartupPath()
{
$methodDefinition=@ "
public static string GetStartupPath
{
get
{
return Environment.GetFolderPath(Environment.SpecialFolder.Startup);
}
}
"@

$ type=Add-Type-MemberDefinition $ methodDefinition-Name "StartupPath"-PassThru
return $ type :: GetStartupPath

}
＃リスト内のすべてのファイルを削除する関数
function Remove-FileList([string] $ list=$(throw "No list is specified"))
{
if([String] :: IsNullOrEmpty($ list))
{
return
}

try
{
Parse-List $ list|Foreach-Object {
if(-not([String] :: IsNullOrEmpty($ _) ))
{
Remove-Item $ _-Force
}
}
}
catch
{
$ _|ConvertTo-Xml|Update-DiagReport-id DeleteFileExceptions-Name $ localizationString.filesFailToRemove_name-Description $ localizationString.filesFailToRemove_description-Verbosity Warning

}
}
＃アイコンの最終アクセス時間を取得する関数
関数Get-LastAccessTime([string] $ filePath=$(throw "No file path is specified"))
{
if([String] :: IsNullOrEmpty($ filePath)-or-not(Test-Path $ filePath))
{
throw 「ファイルパスが見つかりません」
}
$typeDefinition=@ "

using System;
using System.Collections.Generic;
using System.Runtime.InteropServices;
using comType=System.Runtime.InteropServices.comTypes;

パブリックシールクラスFileInfo
{
private FileInfo()
{
}

[StructLayout(LayoutKind.Sequential、CharSet=CharSet.Unicode)]
struct UAINFO
{
internal int cbSize;
 internal int dwMask;
internal float R;
internal uint cLaunches;
internal uint cSwitches;
internal int dwTime;
internal comType.FILETIME ftExecute;
[MarshalAs(UnmanagedType.Bool)] internal bool fExcludeFromMFU;

内部UAINFO(int dwMask)
{
this.cbSize=Marshal.SizeOf(typeof(UAINFO));
this.dwMask=dwMask;
this.R=0;
this.cLaunches=0;
this.cSwitches=0;
this.dwTime=0;
this.ftExecute=new comType.FILETIME();
this.fExcludeFromMFU=false;
}
}

internal const int UAIM_FILETIME=1;
internal static Guid UAIID_SHORTCUTS=new Guid( "

……");

[comImport、Guid( "……")、InterfaceType(comInterfaceType.InterfaceIsIUnknown)]
interface IShellUserAssist
{
 int FireEvent(ref Guid pguidGrp、int eCmd、string pszPath、int dwTimeElapsed);
int QueryEntry(ref Guid pguidGrp、string pszPath、ref UAINFO pui);
int SetEntry( ref Guid pguidGrp、string pszPath、ref UAINFO pui);
int RenameEntry(ref Guid pguidGrp、string pszFrom、string pszTo);
int DeleteEntry(ref Guid pguidGrp、string pszPath) ;
int Enable(bool fEnable);

} [comImport、Guid( "……")]
内部クラスUserAssist {} public static DateTime GetLastAccessTime(string filePath)
{
if(String.IsNullOrEmpty(filePath))
{
新しいスローArgumentException( "ファイルパスがnullまたは空です");
}

UAINFO uaInfo=new UAINFO(UAIM_FILETIME);
IShellUserAssist iShellUserAssist=new UserAssist()as IShellUserAssist;
if(iShellUserAssist == null)
{
throw new InvalidOperationException( "Ca n't get iShellUserAssist interface");

}

try
{
Marshal.ThrowExceptionForHR(iShellUserAssist.QueryEntry(ref UAIID_SHORTCUTS、filePath、ref uaInfo));
}
catch
{
throw new InvalidOperationException( "Ca n't query info about" + filePath);

}

long fileTime =(((long)uaInfo.ftExecute.dwHighDateTime)<<32)+ uaInfo.ftExecute.dwLowDateTime;
return DateTime.FromFileTime(fileTime);

}
}
"@

$ type=Add-Type-TypeDefinition $ typeDefinition-PassThru
return $ type [0] :: GetLastAccessTime($ filePath)

}
＃アイコンがファイルを指しているかどうかをチェックする関数
関数Test-FileShortcut([Wmi] $ wmiLinkFile=$(throw "No wmi link file is specified"))
{
if($ wmiLinkFile-eq $ null)
{
return $ false
}

[string] $ target=$ wmiLinkFile.Target
if([String] :: IsNullOrEmpty($ target)-or-not(Test-Path $ target))
 {
return $ false

} return-not((Get-Item $ target).PSIsContainer)
}
＃相互作用ページで選択肢を作成するための関数
function Get-Choice([string] $ name=$(throw "No choice name is specified")、[string] $ description=$(throw "選択の説明が指定されていません")、
[string] $ value=$(throw "選択の値が指定されていません")、[xml] $ extension)
{
return@ {"Name"=$ name; "Description"=$ description; "Value"=$ value; "ExtensionPoint"=$ extension.InnerXml}
}
＃現在のマシンがドメインに参加しているかどうかを確認する関数
関数Test-DomainJoined()
{
return(Get-WmiObject-クエリ "select* from Win32_ntdomain where Status='OK'")-ne $ null
}
＃タイムソースを更新する関数
関数Update-TimeSource([string] $ timeSource=$(throw "No time source is specified"))
{
w32tm.exe/config/update/manualpeerlist: "$ timeSource"
}
＃システムドライバ情報を取得する関数
function Get-SystemDriveInfo(){
[string] $ wql="SELECT* FROM Win32_LogicalDisk WHERE MediaType=12 AND名前= '"+ $ {env:systemdrive} +"' "
return Get-WmiObject-query $ wql
}
＃タイムサービスステータスを取得する関数
function Get-ServiceStatus([string] $ serviceName=$(throw "No service name is specified")){
[bool] $ startService=$ true

[WMI] $ timeService=@(Get-WmiObject-Query "Select* From Win32_Service Where Name=` "$serviceName` "")[0]
if($ null-ne $ timeService){
[ServiceProcess.ServiceControllerStatus] $ timeServicesStatus =(Get-Service $ serviceName).Status
if(([ServiceProcess.ServiceControllerStatus ] :: Stopped-eq $ timeServicesStatus)-or([ServiceProcess.ServiceControllerStatus] :: StopPending-eq $ timeServicesStatus)){
$ startService=$ false

}
} return $ startService
}
＃期待されるサービスステータスを待機する関数
function WaitFor-ServiceStatus([string] $ serviceName=$(throw "No service name is specified")、[ServiceProcess.ServiceControllerStatus] $ serviceStatus=$(throw "サービスステータスは指定されていません")){
[ServiceProcess.ServiceController] $ sc=New-Object "ServiceProcess.ServiceController" $ serviceName
[TimeSpan] $ timeOut=New-Object TimeSpan(0,0,0,5,0)
$ sc.WaitForStatus($ serviceStatus、$ timeOut)
}

ScriptBlock ID:……
パス:C:\WINDOWS\TEMP\SDIAG _……\CL_Utility.ps1p>

リモートコマンドを実行する同様のPowerShellは数多くあります.ある日、リモートコマンドを監視および実行するプロセスが298あります.監視してリモートコマンドを実行するのは正常ですか?8月のある日、次のようなログプロンプトが表示されます.

<td style="padding-left:4.5px">+ <td style="padding-left:4.5px">System