系统白程序利用
关注
分享
扫一扫
FFE4
业余病毒分析
展开
-
systeminfo、WmiPreSE.exe,dll劫持
在指向systeminfo命令时,systeminfo.exe内部通过wmi和LPC的方式获取数据,WmiPrvse.exe在执行实际操作时会去加载tzres.dlldll路径:C:\Windows\System32\wbem\tzres.dll#include <stdlib.h>BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul_reason_for_call,原创 2020-06-23 09:17:26 · 729 阅读 · 2 评论 -
【系统白程序利用】werfault.exe
#include "stdafx.h"#include <windows.h>int _tmain(int argc, _TCHAR* argv[]){ // Get root key handle. HKEY hRoot = nullptr; LPCTSTR lpSubKey = L"Software\\Microsoft\\Windows\\Wi...原创 2018-09-03 17:17:51 · 1976 阅读 · 0 评论 -
利用系统自带的工具iexpress制作payload
iexpress是Windows操作系统中自带的一个CAB自解压文件制作向导工具。可以用来制作程序安装包等。制作完成的文件是一个exe程序。但是它自带的一些功能,和winrar制作的自解压exe很像,支持解压完成后自动运行压缩包内的某个程序,或者执行自定义系统命令。随便添加一个文件,作为要释放的文件,可以为任意文件重点是下面这一步,第一个选择框,Install Program,本应该是...原创 2019-10-07 11:18:56 · 6081 阅读 · 0 评论 -
ESET中自带的白利用
习惯每天早上开机后,清理一下垃圾文件,以及检查开机后的进程列表,清理完垃圾,我在CCleaner启动项管理功能下面,发现了一个ESET杀软的启动项"C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide /proxy感觉挺有意思,就查看该文件所在目录,结果一眼瞄到了一个callmsi.exe 的文件,运行后,和系统的msiex...原创 2019-10-10 09:41:39 · 750 阅读 · 0 评论