HPJY外g四叶花远控用户!(原创非搬运)
本帖最后由 Ts_冰枫 于 2021-1-24 14:03 编辑然发现任务管理器内的x32位进程关闭后自动重启的现象
https://www.2fzb.com/static/image/smiley/upx2/755.gif我这疑心病巨tm重,直接开启隔离,看这bak发现还有Htpp传输文件的迹象
OK,咱们直接提取病毒文件
拿到病毒样本,发现巨tm可疑,还伪装腾讯签名?
https://www.2fzb.com/static/image/smiley/upx2/755.gif
拖OD查看进程行为
发现其不但自删除隐藏,且输出和使用重写过的API(狗头)这还不锤远控?
这就很难用OD分析了啊
https://www.2fzb.com/static/image/smiley/upx2/2152.gif
https://www.2fzb.com/static/image/smiley/upx2/354.gif没关系,我们直接跑文件物理机运行,跑个IP出来看看服务器是什么个情况
很容易啊,拿到IP地址:https://www.2fzb.com/data/attachment/forum/202101/24/133251l6nj0jhmp4xu9hu8.png148.70.100.128
上微步查询一波先:
https://www.2fzb.com/static/image/smiley/upx2/99.jpg
这NM不巨熟悉,大部分的扫号器的套路而已,远控服务器,映射的远控文件,Http传输,结案,大佬CC/Syn/DDos有点量的,可以帮忙安排下它服务器
挂海附件上传不了怎么回事?算了,就不丢病毒样本了,有需要的私信我就行
565大概在豆腐干大师傅 外g四叶花远控用户!(原创非搬
页:
[1]