 这个问题前段时间就遇到的了,当时没有查到来源,因为查着查着,突然正常了,因为现在外面好多不正当的软件都很狡猾,检测到某些工具在客户机上运行了,然后他就自动消失了,这样的现象遇到很多次了,包括昨天晚上,也是查着查着,突然就正常了,不过还好,昨天已经查到了可疑的文件了,所以今天遇到了,查起来就方便多了。 案例1: 可疑文件就是客户机上C盘里temp目录下会有随机名的5位数字的dll文件,如下图:  知道了这样的dll文件后,就在服务端上挂盘放工具抓这样的dll是谁生成的了,抓出来的结果如下,ERIJHIGGH.EXE释放38203.dll  然后看ERIJHIGGH.EXE是谁释放的,这样就清楚了,如下图:  案例2: 也是一样的5位随机名的dll的,先是XXEXE文件注入到explorer.exe里释放wfpu.exe    wfpu.exe释放Qawq.exe  然后Qawp.exe注入到PID10028的svchost.exe里  然后PID是10028的svchost.exe释放5位随机名的dll  虽然遇到的不是同一个软件的,估计应该是他们做的增值是出自同一家公司的。 另外再次感谢我们公司安全的同事!! |
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
本站是非盈利性质的论坛,所有信息均为原作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯你版权的,请来信指出(hxwglm@outlook.com),本站将立即改正.
学网吧技术,到华夏网盟
做网吧行业最后死去的一个论坛
