Windows应急响应-PcShare远控木马

原创 已于 2024-10-02 03:00:17 修改 · 1.1k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #安全 #网络安全

于 2024-10-01 04:52:06 首次发布

文章目录

应急背景

曲某今天想要装一款软件,通过网上搜索看到非官方网站进入后直接下载下来后进行安装,他发现双击安装的时候存在无响应一段时间后才开始安装,由于他自己电脑是新的而且配置也不错,没有遇到过这种情况,感觉可能这个安装软件有问题 ,所以他就找到了竹某,希望帮他排查一下电脑是否中病毒木马了。
竹某了解情况后就上机进行排查。

木马查杀

1.查看异常连接

netstat -ano | findstr "ESTABLISHED"

发现存在异常连接
在这里插入图片描述

线索卡
1.异常连接,端口号4024

2.查看进程

使用PChunter工具
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3–q0u94pw?pwd=w3rb
查看进程模块
在这里插入图片描述
发现有两个dll调用模块没有厂商签名验证
在这里插入图片描述
这里使用sigcheck再次对签名进行校验判断,两个dll文件确实是没有校验的。
Sigcheck工具分享地址:
https://pan.baidu.com/s/1qqA5T1ySskwc-_gVWO1MDA?pwd=d7jl
使用方法:signatrue.exe 指定文件路径
在这里插入图片描述

接着拷贝出来丢到沙箱上,结果出来就确定是木马,看到特征Variant.PcClient,可能是PcShare远控木马。

最低0.47元/天 解锁文章
Pcshare驱动级木马及查杀
weixin_46476861的博客
04-03 1217
双击打开木马 然后就有下面了 靶机里cmd Svhost.exe,是大多数Windows服务的宿主程序。不能随意关闭它。 对于svchost.exe,先删除dll文件,在删除服务,最后再结束进程 不隐蔽的怎么搞: 木马运行了,再创建一个木马上线不了 没了之后再配个木马 ...
MSF(1) 生成木马
C-HOWE的博客
04-18 406
声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!
PcShare源代码c#
06-03
一个比较好的制源代码,C#开发,已试过,可用!
PCSHARE开源制工具实战解析
最新发布
weixin_42327217的博客
10-10 1027
随着信息化时代的快速发展,制技术在个人用户、企业运维以及开发者调试等场景中扮演着越来越重要的角色。PCSHARE作为一个开源的电脑遥器项目,致力于提供一种轻量级、安全可靠且易于部署的程管理解决方案。本章将系统性地介绍PCSHARE的核心理念、开发背景及其在实际环境中的典型应用,包括家庭设备程维护、中小企业IT资产管理、开发者跨平台调试支持等。通过剖析其设计初衷与目标用户群体,帮助读者建立对该项目整体定位的认知基础,并为后续深入理解其技术架构奠定前提。
PCshare源代码合集,最终版本源代码
02-03
PCshare源代码合集,最终版本源代码
【黑客渗透】-- 木马
可惜已不在
02-17 4692
随着信息技术的飞速发展,网络搭建和服务器搭建已成为现代社会的基石。它们如同数字世界的骨架,支撑着各类应用的运行,让信息的传递和共享变得前所未有的便捷。然而,这仅仅是开始,对于真正渴望在信息技术领域探索的人们来说,学习的道路上仍有无数高峰等待我们去攀登。此刻,我们正站在一个崭新的起点,带着对知识和技术的渴望,开启一段全新的学习篇章。在这个篇章中,我们将不满足于仅仅搭建起稳固的网络和服务器,更将深入网络攻击.学习新篇章的道路或许充满挑战,但正是这些挑战,将激发我们不断前行的动力。
pcshare 源码
10-26
"pcshare 源码"是一个涉及到计算机制技术的软件开发项目,其核心是PcShare2005的源代码。这个项目显然基于古老的VC++6.0开发环境,这是一款由Microsoft在1998年推出的集成开发环境(IDE),尽管现在已经被...
阿一网络安全学院干货科普篇之应急响应【上】
qq_69775412的博客
06-17 1414
安全人员在遇到突发事件后所采取的措施和行动。发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。积极预防、及时发现、快速反应、确保恢复。
C# 编写的PcShare程序源代码.rar
04-17
【标题】:“C# 编写的PcShare程序源代码” 【描述】中提到的是一个使用C#编程语言实现的制程序,名为PcShare制软件允许用户通过网络对另一台计算机进行操作,如同在本地操作一样。这种技术常...
程访问型木马——灰鸽子软件的使用,零基础入门到精通,收藏这一篇就够了
Javachichi的博客
09-01 6242
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
QuasarRAT-windows制工具
我的学习笔记
02-28 7630
资源:https://github.com/quasar/QuasarRATQuasar是一种用C#编码的快速轻量级程管理工具。Quasar提供高稳定性和简单易用的用户界面,是程管理解决方案。就一开源的 ...
破解工具
06-26
破解了的工具 本软件只提供学习 勿当作商业用途 谢谢合作
pcshare 教程+工具
03-20
PCSHARE的上线教程,内附pcshare(企业版)
pcshare
07-03
pcshare081125
PCShare:PCShare是一款强大的制软件,可以监视目标机器屏幕、注册表、文件系统等
08-04
PCShare是一款强大的制软件,可以监视目标机器屏幕、注册表、文件系统等。 一、软件使用方法介绍: 启动PcShare.exe,这是制端主程序,该程序会在8080端口上监听被制端的连接。 生成被制端宿主程序,点击制端主界面上的“生成客户按钮”: 生成一个新的宿主程序,这个程序的名称叫ps.exe,然后将ps.exe与PcStat.exe一起发给要被制的机器上。在被制的机器上启动PcStat.exe,过一会儿被制端就连接上制终端了,制终端就可以对被制终端进行各种制了。 二、原理介绍 制端生成的宿主程序ps.exe实际上是一个后台程序,该程序先由PcStat.exe启动,ps.exe被启动后,释放自己二进制文件尾部的节,该节实际上是一个dll文件,这个dll可以根据生成时的配置信息以三种方式运行:1、独立进程运行 2、注入到ie浏览器中运行 3、注入到windo
【亲测免费】 推荐开源项目:PCShare - 跨平台程桌面共享工具
gitblog_00013的博客
04-17 1698
推荐开源项目:PCShare - 跨平台程桌面共享工具 项目简介 是一个轻量级、高效且易用的跨平台程桌面共享工具。由开发者 [xdnice](https) 创建并开源,它旨在简化个人和团队之间的程协作,提供安全、实时的屏幕共享体验。 技术分析 1. 基于WebRTC的技术架构 PCShare 利用了先进的 WebRTC(Web Real-Time Communication)技术,这是一种浏...
使用kali渗透工具msfvenom生成木马
m0_74981852的博客
06-04 3400
在杀毒软件中可以找回文件并信任改文件。右键复制到自己的电脑的一个位置,注意。1.打开kali终端>输入。2.1查看生成的后门文件。6.对目标主机进行攻击。运行之后,去目标主机。
8.Chaos--windows工具
07-16 1633
Chaos 是针对windows的一款工具,可以制作免杀木马,与正常的软件捆绑到一起。操作如图。 安装golang语言,这个工具是由这个语言编写出来的。第三方库不需要安装也可以使用软件 以上命令都是在终端中运行,例如第二行命令 源码下载好了之后,看一下它的文档说明,payload等都在里面。使用命令也有。 1.生成木马 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值