远程监控软件的行为分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2020-03-27

样本帖子:https://www.52pojie.cn/thread-1125431-1-1.html分析的为飞机闪退,全国那个东西就是个远控安装. 安装的名称都叫被控端飞机内文件: 微聊启动: 释放的隐藏的dll 潮信界面: 文件执行6月数据行为执行的命令:C:UsersADMINI~1AppDataRoamingwhstdkwhstwk.exe" -setmac'"C:UsersADMINI~1AppDataRoamingwhstdkwhstwk.exe" -iniconvert "comnctt.xdt" "expiorer.xdt"'"C:WindowsSystem32netsh.exe" advfirewall firewall delete rule name="whstwk"''"C:WindowsSystem32netsh.exe" advfirewall firewall add rule name=whstwk dir=in action=allow program="C:UsersAdministratorAppDataRoamingwhstdkwhstwk.exe" profile=any'"C:UsersADMINI~1AppDataRoamingwhstdkwqnms.exe" -i qafty "Network Access Driver" "用于与系统网络驱动交换管理信息。如果此服务被禁用，任何依赖它的服务将无法启动。"'"C:UsersADMINI~1AppDataRoamingwhstdkspoolwqprs.exe" -i tayrw "Security Driver Service" "用于硬件驱动间交换管理信息。如果此服务被禁用，任何依赖它的服务将无法启动。"'写入自启动: 启动的消息钩子: 键盘监听: 端口监听. 将操作记录写入自身的文件夹下: 操作记录的内容: 当直接启动飞机闪退后.当前面的操作执行完.LogonUI直接关键电脑一个简单的分析初投稿,请大佬多多指教