Opération et maintenance
Sécurité
Exemple d'analyse de l'échantillon de shell de rebond du cheval de Troie WvEWjQ22.hta
Exemple d'analyse de l'échantillon de shell de rebond du cheval de Troie WvEWjQ22.hta
I Résumé
Le client m'a appelé ce soir-là pour me dire qu'il avait découvert une attaque suspectée et m'a demandé d'effectuer la traçabilité des interventions d'urgence. Même si j'étais un peu impuissant, je me suis quand même levé et j'ai pris mon cahier pour m'en occuper. Grâce à une analyse préliminaire, il a été constaté que WvEWjQ22.hta exécutait un processus PowerShell. Après une analyse et un jugement approfondis, il a été constaté que le trafic avait été codé en Base64 deux fois + Gzip une fois. Le ShellCode décodé par analyse inverse et débogage était un. Shell de rebond TCP généré par CS ou MSF, et la source a finalement été tracée. Recherchez l'adresse IP de l'attaque et mettez fin au processus Powershell et au processus de shell de rebond TCP.
II Méthode d'attaque
Utilisez le cheval de Troie WvEWjQ22.ht encodé trois fois pour contourner la détection et l'avertissement du système de connaissance de la situation et exécuter le processus PowerShell pour faire rebondir le shell.
III Sample Analysis
Le cheval de Troie exécute des commandes via PowerShell
Le script WvEWjQ22.hta utilise PowerShell pour exécuter un script PS codé en base64
BASE64 décodage
via un PS script Il effectue le décodage BASE64 + Gzip et écrit le script final exécuté dans 1.txt
Le script décodé s'applique principalement à la mémoire, et le ShellCode de décodage BASE64 est chargé et exécuté
Enregistrez le shellcode encodé en base64 dans le script Allez dans le fichier out.bin
pour déboguer et décoder le ShellCode du shell de rebond TCP généré par CS ou MSF. IP en ligne : 112.83.107.148 : 65002
Élimination IV
Terminez le processus Powshell et le processus Shell de rebond TCP.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Comment installer Classic Shell sur Windows 11 ?
Apr 21, 2023 pm 09:13 PM
<p>La personnalisation de votre système d'exploitation est un excellent moyen de rendre votre vie quotidienne plus agréable. Vous pouvez modifier l'interface utilisateur, appliquer des thèmes personnalisés, ajouter des widgets, etc. Aujourd’hui, nous allons vous montrer comment installer ClassicShell sur Windows 11. </p><p>Ce programme existe depuis longtemps et vous permet de modifier le système d'exploitation. Des bénévoles ont désormais commencé à diriger l’organisation, qui a été dissoute en 2017. Le nouveau projet s'appelle OpenShell et est actuellement disponible sur Github pour les personnes intéressées. </p>&a
![Explorer.exe ne démarre pas au démarrage du système [Réparer]](https://img.php.cn/upload/article/000/887/227/168575230155539.png?x-oss-process=image/resize,m_fill,h_207,w_330)
Explorer.exe ne démarre pas au démarrage du système [Réparer]
Jun 03, 2023 am 08:31 AM
De nos jours, de nombreux utilisateurs de Windows commencent à rencontrer de graves problèmes avec le système Windows. Le problème est qu'Explorer.exe ne peut pas démarrer une fois le système chargé et les utilisateurs ne peuvent pas ouvrir de fichiers ou de dossiers. Cependant, les utilisateurs Windows peuvent ouvrir l'Explorateur Windows manuellement à l'aide de l'invite de commande dans certains cas et cela doit être fait à chaque redémarrage du système ou après le démarrage du système. Cela peut être problématique et est dû aux facteurs suivants mentionnés ci-dessous. Fichiers système corrompus. Activez les paramètres de démarrage rapide. Pilotes d’affichage obsolètes ou problématiques. Des modifications ont été apportées à certains services du système. Fichier de registre modifié. En gardant à l'esprit tous les facteurs ci-dessus, nous en avons proposé quelques-uns qui aideront sûrement les utilisateurs.
Le déploiement PowerShell échoue avec le problème HRESULT 0x80073D02 résolu
May 10, 2023 am 11:02 AM
Voyez-vous ce message d'erreur « Add-AppxPackage : Le déploiement a échoué avec HRESULT : 0x80073D02, Le package ne peut pas être installé car la ressource qu'il modifie est actuellement en cours d'utilisation. Erreur 0x80073D02... » dans PowerShell lorsque vous exécutez le script ? Comme l'indique le message d'erreur, cela se produit lorsque l'utilisateur tente de réenregistrer une ou toutes les applications WindowsShellExperienceHost pendant l'exécution du processus précédent. Nous avons quelques solutions simples pour résoudre ce problème rapidement. Correctif 1 – Terminez le processus hôte d’expérience que vous devez terminer avant d’exécuter la commande PowerShell
Comment supprimer rapidement la ligne à la fin d'un fichier sous Linux
Mar 01, 2024 pm 09:36 PM
Lors du traitement de fichiers sous les systèmes Linux, il est parfois nécessaire de supprimer des lignes à la fin du fichier. Cette opération est très courante dans les applications pratiques et peut être réalisée grâce à quelques commandes simples. Cet article présentera les étapes pour supprimer rapidement la ligne à la fin du fichier dans le système Linux et fournira des exemples de code spécifiques. Étape 1 : Vérifiez la dernière ligne du fichier Avant d'effectuer l'opération de suppression, vous devez d'abord confirmer quelle ligne est la dernière ligne du fichier. Vous pouvez utiliser la commande tail pour afficher la dernière ligne du fichier. La commande spécifique est la suivante : tail-n1filena.
Voici les correctifs pour le problème de non-fonctionnement d'Open Shell Windows 11
Apr 14, 2023 pm 02:07 PM
Le shell ouvert qui ne fonctionne pas sous Windows 11 n’est pas un problème nouveau et tourmente les utilisateurs depuis l’avènement de ce nouveau système d’exploitation. La cause du problème de non-fonctionnement d’Open-Shell Windows 11 n’est pas spécifique. Cela peut être dû à des erreurs inattendues dans les programmes, à la présence de virus ou de logiciels malveillants ou à des fichiers système corrompus. Pour ceux qui ne le savent pas, Open-Shell remplace Classic Shell, qui a été abandonné en 2017. Vous pouvez consulter notre tutoriel sur la façon d'installer Classic Shell sur Windows 11. Comment remplacer le menu Démarrer de Windows 11
Différentes façons d'exécuter des fichiers de script shell sous Windows
Apr 13, 2023 am 11:58 AM
Sous-système Windows pour Linux La première option consiste à utiliser le sous-système Windows pour Linux ou WSL, qui est une couche de compatibilité permettant d'exécuter les exécutables binaires Linux de manière native sur les systèmes Windows. Il fonctionne pour la plupart des scénarios et vous permet d'exécuter des scripts shell sous Windows 11/10. WSL n'est pas automatiquement disponible, vous devez donc l'activer via les paramètres de développement de votre appareil Windows. Vous pouvez le faire en allant dans Paramètres > Mise à jour et sécurité > Pour les développeurs. Passez en mode développeur et confirmez l'invite en sélectionnant Oui. Ensuite, cherchez W
Super hardcore ! 11 exemples de scripts Python et Shell très pratiques !
Apr 12, 2023 pm 01:52 PM
Quelques exemples de scripts Python : alarmes WeChat d'entreprise, clients FTP, clients SSH, clients Saltstack, clients vCenter, obtention du délai d'expiration du certificat SSL du nom de domaine, envoi des prévisions météo du jour et des graphiques de tendances météorologiques futures ; quelques exemples de scripts Shell : sauvegarde complète SVN, Zabbix surveille l'expiration des mots de passe des utilisateurs, construit YUM local et les besoins des lecteurs sont mentionnés dans l'article précédent (lorsque la charge est élevée, recherchez les scripts de processus qui occupent une quantité plus élevée et stockent ou envoient des notifications, donc c'est un peu long) ; veuillez le lire patiemment. À la fin de l'article, il y a un œuf de Pâques après tout. Script Python faisant partie de l'alarme WeChat d'entreprise Ce script utilise l'application WeChat d'entreprise pour exécuter l'alarme WeChat et peut être utilisé
Comment installer Open Shell pour restaurer le menu Démarrer classique sur Windows 11
Apr 18, 2023 pm 10:10 PM
OpenShell est un utilitaire logiciel gratuit qui peut être utilisé pour personnaliser le menu Démarrer de Windows 11 pour qu'il ressemble à un menu de style classique ou à un menu de style Windows 7. Le menu Démarrer des versions précédentes de Windows offrait aux utilisateurs un moyen simple de parcourir le contenu de leur système. Fondamentalement, OpenShell remplace ClassicShell qui fournit différents éléments d'interface utilisateur qui permettent d'obtenir les fonctionnalités de cette dernière version à partir des versions précédentes de Windows. Une fois le développement de ClassicShell arrêté en 2017, il a été maintenu et développé par des bénévoles de GitHub sous le nom d'OpenShell. C'est lié à Win
