Eu quero criar um programa powershell para encontrar powershells ocultos possíveis. Tal como o projeto Not powershell NPS.exe encontrado aqui ( link ). uma série de comandos LS (milhares) e ele rodou.
Eu sei que este aplicativo usa essas bibliotecas (System.Management.dll). Eu verifiquei com o Process Explorer e confirmou, mas eu corri este script como admin o script não pegou as bibliotecas, mas pegou outros programas que estavam usando as bibliotecas. O que estou fazendo de errado? Como eu encontraria a dll? e por que as dlls do NTS não são exibidas no explorador de processos, mas não no script abaixo.
#Possible Powershells
echo "Possible Powershells"
echo "-------------------------------------"
Get-Process | where {$_.modules.ModuleName -eq 'System.Management.ni.dll'}
Get-Process | where {$_.modules.ModuleName -eq 'System.Management.dll'}
Process Explorer mostrando o processo Código do Powershell em execução
