 |
LaureatePoetV2EX 第 467758 号会员,加入于 2020-02-04 11:04:47 +08:00今日活跃度排名 6362 |
LaureatePoet
LaureatePoet 最近回复了
3 天前 回复了 ssccyy 创建的主题 › WATCH › 求助 ios 13.3 怎么链接 watch 10 |
签名权限不够。你必须越狱/巨魔才行
3 天前 回复了 ssccyy 创建的主题 › WATCH › 求助 ios 13.3 怎么链接 watch 10 |
6 天前 回复了 razios 创建的主题 › iOS › 你们的 ip13 停留在什么系统版本 |
TrollStore 你值得拥有
10 天前 回复了 okura 创建的主题 › 问与答 › Azure 学生认证申请有问题,本人是真的大学生 |
> Azure 的服务器来微调毕业论文
———
冒昧问一下 是用 openai 的 api 吗?服务器之前只知道 b1s 是学生免费的
———
冒昧问一下 是用 openai 的 api 吗?服务器之前只知道 b1s 是学生免费的
39 天前 回复了 kenapote 创建的主题 › 计算机 › 计算机专业学生求推荐便携电脑,预算 5k 以内 |
如果你是大学生,建议还是入 win ,因为可能会有一些课程作业/实验需要 win 环境,而 mac Arm 的虚拟机并不能完美。如果你是研究生,可以考虑 mac ,因为肯定还有组里的 win 机器。总之 win 是必备的。
161 天前 回复了 TakaObsid 创建的主题 › Apple › 请教下坛友们二手 macbook 的行情 |
京东,8 折家电补贴 Macbook Air M3 13inch, 16+256, 可以 7200 拿下。
161 天前 回复了 VisualStudioCode 创建的主题 › iPhone › 目前 iPhone 在硬件上有三个版本:美版、中港澳版、全球版。中国大陆居民要想买全球版的话,买哪个地区销售的较好? |
162 天前 回复了 VisualStudioCode 创建的主题 › iPhone › 目前 iPhone 在硬件上有三个版本:美版、中港澳版、全球版。中国大陆居民要想买全球版的话,买哪个地区销售的较好? |
191 天前 回复了 mingtdlb 创建的主题 › 信息安全 › windows 中毒了 |
[VirusTotal - m.dat 检测结果]( https://www.virustotal.com/gui/file/c7eaff9d735d8eef42c73be4c093f7b31cf7d0df18c98d135eb915c13409d077/detection)
以下是对这三个 PowerShell 脚本的分别总结:
### 1. **主要脚本 (`power.txt` 脚本)**
- **目的**: 该脚本的目的是通过禁用系统防护和终止某些进程来破坏系统安全,同时下载和执行远程恶意代码。
- **主要操作**:
- **生成随机字符串**: 创建一个随机字符串并将其赋值给变量 `$sys`。
- **禁用 Windows Defender**: 通过多种方法禁用 Windows Defender 和其他安全特性。
- **终止并删除非标准进程**: 检查并终止多个系统关键进程,如 `svchost.exe`、`conhost.exe`,并删除它们的可执行文件。
- **检查恶意进程和服务**: 检查 `winlogon.exe` 是否存在于指定路径,并检测名为 "Windows Updata" 的服务是否正在运行。如果存在,执行从远程服务器下载的恶意代码,否则清除 WMI 持久化机制并重新配置恶意计划任务和 WMI 事件。
- **配置计划任务和防火墙**: 添加防火墙规则和计划任务以维持系统的长期感染状态。
### 2. **`config.txt` 脚本**
- **目的**: 检查配置文件是否已被篡改,如果未被篡改则下载新的配置文件并重新配置系统的持久化机制。
- **主要操作**:
- **检查配置文件**: 读取 `C:\Windows\debug\m\config.json` 内容,查看其中是否包含指定的恶意域名。如果不包含,则下载更新后的配置文件并替换现有文件。
- **更新 WMI 事件和计划任务**: 删除现有的 WMI 事件和计划任务,然后重新创建它们以确保执行恶意代码。
- **创建计划任务**: 通过 `schtasks` 命令创建一个定时任务,该任务定期从远程服务器下载并执行恶意代码。
### 3. **`download.txt` 脚本**
- **目的**: 下载、执行恶意文件,并通过设置权限和计划任务确保其持久性,同时防止系统修复。
- **主要操作**:
- **下载恶意文件**: 从远程服务器下载一个名为 `m.dat` 的文件并将其保存为 `m.exe`。
- **修改文件权限**: 使用 `icacls` 修改 `C:\Windows\debug\m` 目录及其内容的权限,确保恶意文件能够在多种用户环境下执行。
- **执行恶意文件**: 使用 `cmd.exe` 和 `Start-Process` 多次尝试执行下载的恶意文件和相关的脚本/批处理文件。
- **创建计划任务和防火墙规则**: 创建定时任务以确保恶意代码定期执行,同时开放特定端口以便远程管理或数据泄露。
- **清理痕迹**: 删除下载的恶意文件,并终止 `powershell.exe` 进程以减少被检测的风险。
### 总体总结
这些脚本展示了一个精心设计的多层次攻击策略,通过禁用系统防护、修改系统设置、执行恶意代码并创建持久化机制,攻击者可以保持对系统的长期控制并尽量减少被发现的可能性。
以下是对这三个 PowerShell 脚本的分别总结:
### 1. **主要脚本 (`power.txt` 脚本)**
- **目的**: 该脚本的目的是通过禁用系统防护和终止某些进程来破坏系统安全,同时下载和执行远程恶意代码。
- **主要操作**:
- **生成随机字符串**: 创建一个随机字符串并将其赋值给变量 `$sys`。
- **禁用 Windows Defender**: 通过多种方法禁用 Windows Defender 和其他安全特性。
- **终止并删除非标准进程**: 检查并终止多个系统关键进程,如 `svchost.exe`、`conhost.exe`,并删除它们的可执行文件。
- **检查恶意进程和服务**: 检查 `winlogon.exe` 是否存在于指定路径,并检测名为 "Windows Updata" 的服务是否正在运行。如果存在,执行从远程服务器下载的恶意代码,否则清除 WMI 持久化机制并重新配置恶意计划任务和 WMI 事件。
- **配置计划任务和防火墙**: 添加防火墙规则和计划任务以维持系统的长期感染状态。
### 2. **`config.txt` 脚本**
- **目的**: 检查配置文件是否已被篡改,如果未被篡改则下载新的配置文件并重新配置系统的持久化机制。
- **主要操作**:
- **检查配置文件**: 读取 `C:\Windows\debug\m\config.json` 内容,查看其中是否包含指定的恶意域名。如果不包含,则下载更新后的配置文件并替换现有文件。
- **更新 WMI 事件和计划任务**: 删除现有的 WMI 事件和计划任务,然后重新创建它们以确保执行恶意代码。
- **创建计划任务**: 通过 `schtasks` 命令创建一个定时任务,该任务定期从远程服务器下载并执行恶意代码。
### 3. **`download.txt` 脚本**
- **目的**: 下载、执行恶意文件,并通过设置权限和计划任务确保其持久性,同时防止系统修复。
- **主要操作**:
- **下载恶意文件**: 从远程服务器下载一个名为 `m.dat` 的文件并将其保存为 `m.exe`。
- **修改文件权限**: 使用 `icacls` 修改 `C:\Windows\debug\m` 目录及其内容的权限,确保恶意文件能够在多种用户环境下执行。
- **执行恶意文件**: 使用 `cmd.exe` 和 `Start-Process` 多次尝试执行下载的恶意文件和相关的脚本/批处理文件。
- **创建计划任务和防火墙规则**: 创建定时任务以确保恶意代码定期执行,同时开放特定端口以便远程管理或数据泄露。
- **清理痕迹**: 删除下载的恶意文件,并终止 `powershell.exe` 进程以减少被检测的风险。
### 总体总结
这些脚本展示了一个精心设计的多层次攻击策略,通过禁用系统防护、修改系统设置、执行恶意代码并创建持久化机制,攻击者可以保持对系统的长期控制并尽量减少被发现的可能性。
Select Language