-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18636小时
-
- 发帖786303
- 搜Ta的帖子
- 精华0
- 飞翔币211574
- 威望215717
- 飞扬币2615486
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786303
- 飞翔币
- 211574
- 威望
- 215717
- 飞扬币
- 2615486
- 信誉值
- 8
|
总裁封装工具SC3.0是目前用的人数比较多的一款系统封装工具,官方宣称无广告,无劫持防流氓封装,但事实真的是这样吗?本人最近正好需要封装系统,发现使用该软件后系统Edge被恶意修改,于是便有这篇分析过程。测试环境:Vmware虚拟机测试系统:Win Ltsc 2016 X641、使用win10官方版镜像进行纯净安装,微软官方安装最新版Edge 91,安装后将补丁更新到最新202106052、安装火绒卫士并更新到最新,进行全盘查杀,打开Edge主页正常,再次确认环境安全准备封装。3、官方下载scpt3.0.0.122并更检测更新。 校验哈希值Scpt.exe MD5: 909EA880F360DB0557A85AD13E818922 SHA256: 7ABCAA827FAFE5185AACB4805AE92A5A61B0DF25B0D6C684E7873953986150D84、检查封装参数,将可能涉及自动安装软件插件的选项去除,开始封装系统  5、封装系统后,提示重启或关机进行备份镜像,由于我们是测试因此这里不进行备份,而是直接重启系统进入系统安装过程,同时也避免了WinPE不纯净等因素。进入安装好的系统之后,ScTasks.exe 随机在Temp目录下生成随机可执行文件 本次是AwJRoo.exe 继续跟踪AwJRoo.exe文件行为,发现,该程序枚举已安装的浏览器并进行劫持修改主页。   恶意修改以后,ScTasks.exe尝试删除随机生成的恶意文件AwJRoo.exe,被我拦截,并提取样本。 此时我们打开系统的Edge浏览器,发现主页已被偷偷劫持,但似乎该域名已经无法访问。 将随机产生的病毒样本AwJRoo.exe发送至多家云分析平台,结果大跌眼镜,该恶意程序可能有反虚拟机技术,多家云检测平台均无法识别,显示为安全。 至此整个分析过程也差不多了,总裁封装工具SC生成的随机恶意文件由于在系统首次启动后才会运行,而且会自我销毁,手段极其隐蔽,火绒安全卫士,360安全卫士均无法识别,不过庆幸的是微软自带的防毒软件windows defender已经可以识别,但这里有个问题,windows defender识别发现以后,该恶意软件已经成功运行并自我销毁了,因此在windows defender防护日志中只能查看到记录是删除,而不是隔离,因此无法通过还原来提取恶意软件。所有那些所谓的无广告,无劫持都是骗人的,实际上在总裁封装工具的论坛已经有人反馈这个问题,但是官方却会说是的PE环境不干净导致的,通过本次测试算是石锤了。毕竟是免费的工具嘛,恶意程序危害相对也比较低。
|
