PowerShell

对手可能会滥用PowerShell命令和脚本进行执行。PowerShell是Windows操作系统中包含的强大交互式命令行界面和脚本环境。(引用: TechNet PowerShell) 对手可以使用PowerShell执行许多操作，包括信息发现和代码执行。示例包括Start-Process cmdlet，可用于运行可执行文件，以及Invoke-Command cmdlet，可在本地或远程计算机上运行命令（尽管使用PowerShell连接远程系统需要管理员权限）。 PowerShell还可以用于从Internet下载和运行可执行文件，这些文件可以从磁盘或内存中执行，而无需触及磁盘。 有许多基于PowerShell的攻击测试工具可用，包括Empire、PowerSploit、PoshC2和PSAttack。(引用: Github PSAttack) PowerShell命令/脚本也可以通过.NET框架和Windows公共语言接口（CLI）暴露的PowerShell底层System.Management.Automation程序集DLL接口执行，而无需直接调用powershell.exe二进制文件。(引用: Sixdub PowerPick Jan 2016)(引用: SilentBreak Offensive PS Dec 2015)(引用: Microsoft PSfromCsharp APR 2014)