/tags/powershell/Recent content in Powershell on Suspicious BytesHugonl-NLTue, 12 May 2026 00:00:00 +0000/posts/triaging-suspicious-powershell/Tue, 12 May 2026 00:00:00 +0000/posts/triaging-suspicious-powershell/<p>Een encoded PowerShell-commando in je proceslogs is niet automatisch kwaadaardig, maar verdient altijd een nadere blik. Zo trieer je er rustig één.</p> <h2 id="wat-de-vlag-hijst">Wat de vlag hijst</h2> <p>Bepaalde combinaties van flags zijn ongebruikelijk voor een legitiem script en gangbaar voor tradecraft:</p> <ul> <li><code>-EncodedCommand</code> (base64-payloads)</li> <li><code>-WindowStyle Hidden</code> en <code>-NonInteractive</code></li> <li><code>-ExecutionPolicy Bypass</code></li> </ul> <blockquote> <p>Een payload decoderen is lezen, niet uitvoeren. Decodeer in een geïsoleerde omgeving en plak een onbekend commando nooit terug in een live shell.</p>