木马后门思路
关注
分享
扫一扫
FFE4
业余病毒分析
展开
-
C++通过DCOM调用Excel.ExecuteExcel4Macro执行宏代码
通过cpp调用excel.application对象的ExecuteExcel4Macro方法来执行任意宏代码,宏代码直接调用NativeAPI执行WinExec创建powershell进程要求:目标机器必须安装了Excel,#include "stdafx.h"#include <windows.h>#include <iostream>#include <oaidl.h>using namespace std;int _tmain(int argc,原创 2021-01-13 21:47:29 · 1333 阅读 · 0 评论 -
MMC20.Application远程创建DCOM对象,拒绝访问0x80070005
关于利用MMC20这个DCOM对象启动进程的方法,网上已经有不少文章了。我在测试在远程目标机器上创建MMC20对象时,始终提示0x8007005错误PS测试代码:$com = [Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","192.168.198.133"));$com = Document.ActiveView.ExecuteShellCommand("C:\Windows\System32\Ca原创 2021-01-08 15:52:25 · 2321 阅读 · 3 评论 -
c++内存执行脚本语言
好久没写博客了,抓住四月的小尾巴,分享一篇利用c++提供的com接口,来执行各种脚本语言直接上代码,下面demo使用vs2019编译,功能是通过c++执行vbscript脚本,创建进程:#include <iostream>#include <windows.h>#include <objbase.h>#include <activscp.h&g...原创 2020-04-30 15:53:38 · 877 阅读 · 0 评论 -
劫持WeChatUpdate.exe作为后门
发现微信pc端在启动的时候,会检查注册表中的NeedUpdateType >= 100 就会先启动微信安装目录下的wechatupdate.exe可以利用这个思路写个劫持微信更新程序的后门,具体思路如下:1.释放木马到微信安装目录,覆盖WeChatUpdate.exe2.写注册表修改NeedUpdateType=1003.被攻击者下次启动微信时,检测到NeedUpdateType=1...原创 2020-01-08 19:48:16 · 7718 阅读 · 3 评论