powershell.exe是什么鬼？

powershell.exe是木马。

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施 *** 作。

一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法 *** 作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。

以上内容参考百度百科——木马

这次需要用到powershell攻击框架Empire，使用Empire/data/module_source/persistence/Invoke-BackdoorLNK.ps1这个脚本

-LNKPath是要利用的lnk的路径，每次打开这个lnk文件时都会执行原始的应用程序和 -Enc后面的恶意powershell代码

先通过empire生成反d的powershell代码

./empire 进入empire

输入listeners 进入监听界面 设置好ip与端口

launcher 1 生成power shell代码

这里我们只复制 -Enc 后面的代码

然后执行

看到以上界面就代表后门安装完成

当我们运行navicat快捷方式的同时 可以看到powershell.exe已经悄悄的链接empire