【文件名称】：DNF5天号解封教程.exe

【HA256】：3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd

【运行环境】：win7

【远控服务器】：腾讯云——132.232.36.190

【使用工具】：OD WINHEX PEID EXEINFO Malware Defender

今日有网友在群里诶特我说有个远控可以过火绒 火绒查不出来 索性就下载来看看。

上手先查壳然后发现没壳（听说过火绒？？？？）

我寻思第一眼看上去没啥子区别呀。

DNF5天号解封教程.exe 样本行为。

键盘记录。

写入文件 C:\Users\ADMINI~1\AppData\Local\Temp\\csrss.exe

通过对这个主程序的分析 主要敏感的行为还是只有这一个文件写入的动作 所以我把目光放在了csrss.exe这个被写入的文件。

Csrss.exe分析：

可以看到作者把他伪装成了一个360安全卫士的隔离区模块。

但是具体真是这样吗？

查壳后发现是UPX的（咋干坏事都用UPX呢？）

UPX脱壳方法就不说了，上脱壳机就完事了。

GOGOGO GKD!

Csrss.exe样本行为

获取系统信息：

设置数据跟踪：

创建服务并写入Bat：

但是发现了一点问题 这本是一个批处理 但是怎么会有DOS头？？？？还有区段？？？？接着看。

创建服务：

创建服务：

然后接着程序自动退出！！！

并且删除自身。

Shennong.bat行为分析

当时我看到这个东西的时候我人都傻了 我读书少别骗我 Bat文件有Dos头？？？？

这是我自己弄的一个exe。

改成Bat之后一样可以查到编译器等信息。

这是一个真Bat。

那么具体就看看这个到底做了什么吧！！！

创建服务：

跟那个exe是同样的操作。

通过抓包知道了这玩意是远控。

真就是得不到就远控呗！

创建服务就是为了持久性控制受害者电脑呗！

这个Bat反正用户关掉就自动重启，关掉就自动重启，持久性的控制。

比起远控，我更好奇沙雕网友说的，火绒不检测。

运行流程：

杀软免杀测试,毕竟实践出真知！

为了模拟最真实的测试情况，直接运行程序和扫描样本 不提取等操作。

1. 腾讯电脑管家

指定扫描：

直接运行：

2.360安全卫士

指定位置扫描:

直接运行：

3.重头戏 火绒安全卫士

指定位置扫描：

直接运行：

这...网友。。

这个远控告诉我们，泡妞别光等，别光买礼物，买完礼物表白失败也不要紧，得不到就远控！

GLHF!

感谢：LoneMonster指点
感谢：眠call倚无暇的表情包

推荐一下弟弟写的自闭脚本。

学这个shell脚本也就学了半天，这玩意也就写了半天，渗透大佬看看就好。

拥有一键自动化攻击 一键设置永恒之蓝 一键设置漏洞扫描 一键设置监听 一键设置Payload 一键Nmap扫描等......

GitHub链接：

https://github.com/CatGamesGa0/CatGamesAuToExP

演示视频：

YouTube：https://www.youtube.com/watch?v=Ii4mQrLxQO4

哔哩哔哩：https://www.bilibili.com/video/av53410445

本文由看雪论坛 CatGames  原创

转载请注明来自看雪社区

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方二维码，即可享受 2.5折 优惠！

戳 立即购买！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com