这个病毒似乎和暴风一号不太样,不会修改隐藏快捷方式的箭头图标。首先这个病毒是VBS脚本写的,实际上就是隐藏文件,但是是病毒总有传播性,接下来让我们一起看看有关这个病毒。...点击快捷方式可以进入文件夹,所以博主知道文件是被隐藏了,于是设置显示被隐藏文件和文件夹,被隐藏的文件都出来了,博主发现U盘根目录下有个vbs格式文件(这个就是病毒文件),因为所有的快捷方式都是调用cmd.exe...首先U盘里面全是快捷方式,查看了快捷方式的属性发现是连接到cmd.exe运行vbs这个文件的(具体链接地址 C:Windowssystem32cmd.exe /c start 蠕虫病毒(vbs脚本).vbs...设置显示隐藏文件 ? 被隐藏的文件属性灰色不能修改 ? 根目录可以发现病毒文件vbs格式(当然这是博主放在虚拟机里面的)所以病毒名字是博主改成中文了。 ? ?...病毒副本(改为vbs格式可以运行 *谨慎操作):病毒副本下载 杀U盘病毒脚本:windows查杀U盘快捷方式蠕虫病毒脚本
编写批量启动脚本 先创建一个start.bat的文件,直接创建一个txt将后缀名称改为bat就可以 在脚本内添加如下代码 @echo off taskkill /f /im java.exe start...jar C:\\Users\\Administrator\\Desktop\\demo-0.0.1-SNAPSHOT.jar cmd.exe" exit 第二行代码是删除所有的java程序,本来是保证启动时没有冲突的...编写完保存双击执行bat脚本测试查看是否可以运行 如果都启动成功即可 设置开机自启 先找到如下目录 C:\Users\Administrator\AppData\Roaming\Microsoft\...Windows\Start Menu\Programs 如果没有展示这些内容可能是隐藏了,设置展示隐藏的文件 编写vbs脚本,编写以下代码 set ws=WScript.CreateObject...("WScript.Shell") ws.Run "C:\abc\start.bat /start",0 bat地址为刚才我们编写的脚本的地址,编写好以后放到我们上图的启动目录里,重启测试启动看看效果,
执行时恶意软件会隐藏此可执行文件的控制台窗口。 配置文件各个字段: 该工具不是专门为此次攻击创建的,配置解析成功,程序会将字符串“Meteor has started.”写入加密日志文件。...mssetup.exe将阻止键盘和鼠标设备的输入来阻止用户与机器交互。最后,恶意软件会创建一个计划任务,计划任务将在每次系统启动时执行。...关联分析 和近期伊朗被攻击的目标进行关联分析发现,攻击流程几乎相同,文件具有相似的结构、相同的名称和相同的功能。...初始有效负载是VBS脚本resolve.VBS,它将受密码保护的RAR提取到C:\\Program Files\\Windows NT\\Accessories\\,其中包含另一个RAR文件和三个其他VBS...然后按以下顺序运行脚本: 第一个脚本遍历已安装的程序并检查是否安装了卡巴斯基防病毒软件。 第二个脚本首先检查卡巴斯基的avp.exe进程是否正在运行。如果正在运行,它将尝试删除卡巴斯基许可证。
COM对象就是一些具有特定函数功能项的程序模块,他们一般以ocx或者dll作为扩展名,你只要找到包含有你需要的功能的模块文件,并在脚本中规范的引用,就可以实现特定的功能,也就是说Vbs脚本就是调用现成的...在vbs中,任何运行时错误都是致命的,此时,脚本将停止运行,并在屏幕上显示一个错误消息。...你可以在脚本的开头添加 On Error ResumeNext 这行语句可以告诉vbs在运行时跳过发生错误的语句,紧接着执行跟在它后面的语句。...,在Vbs中对桌面和文件系统进行访问的顶级对象是FileSystemObject(FSO),这个对象特别复杂,是vbs进行文件操作的核心。...DeleteFolder:删除文件夹及其中所有内容 DriveExits:确定驱动器是否存在 FileExits:确定一个文件是否存在 FolderExists:确定某文件夹是否存在 GetAbsolutePathName
这就要求: 运行时报告生成必须与攻击者隔离; 这种隔离必须是可以证明的; 运行时报告必须以在隔离环境之外无法再现的方式进行加密签名 运行时认证技术还涉及到 VBS 围圈(enclaves)的概念,VBS...在 VBS 围圈中,运行时认证组件可以观察并证明报告中包含的一组安全属性。...应用程序可以使用此报告中的详细信息来决定是执行敏感的金融交易还是显示个人信息。 VBS 围圈还可以暴露由特定 VBS 签名密钥签署的围圈认证报告。...这些详细信息包括启动安全属性,包括启用安全启动的计算机是否启动,以确保核心操作系统未被越狱或篡改。最后,运行时报告由配对的私钥在本地签名,该私钥永远不会离开围圈。...“断言”引擎在设计时考虑了理想的系统配置(即具有最高安全级别的系统配置); 在安全级别最低的情况下,业务需求需要 Windows Defender System Guard 运行时认证才能在系统上运行;
cmd基础命令 首先,我们要知道cmd的打开方式,win10可以通过win键+R打开运行。开始-运行-输入cmd即可打开。 cmd 进入cmd后键盘输入【ALT+回车】进去全屏模式。...45. mem.exe:显示内存使用情况(如果直接运行无效,可以先管理员身份运行命令提示符,在命令提示符里输入mem.exe>d:a.txt 即可打开d盘查看a.txt,里面的就是内存使用情况了。...attrib [参数][源文件或目录] 文件属性操作命令,attrib命令可以列出或修改磁盘上文件的属性,文件属性包括文档(A)、只读(R)、隐藏(H)、系统(S),例如:attrib -h -r -s...io.sys 执行这一命令后,将把DOS系统文件io.sys文件的只读、隐藏、系统属性去掉,这时将可以直接通过dir命令看到io.sys文件。...) 查看某文件(目录)的属性 attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存档,只读,系统,隐藏 属性;用+则是添加为某属性 dir 查看文件
△ 摩根大通银行 △ 美国银行 该恶意 XLSX 文件(c70048c0a6636b934623cebe544300c9a950c7bdd542ebe1b6dd06498ca1b915)会在启动时执行以下代码以加载第一阶段的...') 第一阶段的 Payload 会加载下一阶段的 Payload,脚本使用了较为简单的方法(字符转十六进制)来隐藏下一阶段的恶意 URL。...下图可见,代码中增加了许多垃圾内容进行混淆,在运行时用零替换不必要的字符串再启动动态链接库。...△ .JS 文件 提取数据后可以得到一个使用 C# 编写的可执行库文件,这就是最后投递的恶意样本( b7fd83f6d8bbd17d4aefa8f4e28d4503f1c4ab6ab70401b1a67e209da6197cde...该文件是 Remcos RAT 远控木马,攻击者可以通过该恶意软件获取未授权的远程访问能力。
在更改了颜色之后,就是打这条命令“dir空格/s空格C:”,这条命令的意思就是列出C盘所有的目录和子目录文件,看下官方解释。 ? 然后,就将代码打上去回车就可以啦!...再说说第二个 这种呢在很多年前就有了,利用的是Windows自带的VBS编程。 只需要新建一个文本文档 然后将代码复制进去,另存为“XXXXXX.VBS”运行就可以了。...中文的都能改! 然后在桌面空白处新建一个文本文档 ? 将代码复制进去 ? 然后另存为 ? 这里一定注意在文件名后加上“.vbs”或改成这个 保存类型改成“所有文件” ?...这里就得到一个vbs的可执行文件了 ? 那么怎么把这个文件变成微信的图标呢? 对着这个文件点鼠标右键 创建快捷方式 这样就得到一个快捷方式,对着快捷方式点右键,选择属性,然后点更改图标。 ?...最后呢,更改这个快捷方式的文件名,比如改成“微信” 把那个VBS的文件隐藏了,对着VBS文件点右键,选择属性,勾上隐藏,点确定就完成了。完美! ?
通过组策略运行指定脚本添加隐藏用户 在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的...“启动”选项,打开“启动属性”窗口: 操作系统启动时自动运行该脚本,使用net user命令查看未发现hacker用户,但通过net user hacker查看该用户时发现它确实存在: 但在本地安全策略中可看到...] +s:系统 +h:隐藏 +r:只读 加上s属性后,文件会进一步被隐藏(打开查看隐藏文件都看不见),只有使用 dir - h(ls -h) 等才能看见。...当文件被加上s属性后,后续操作可能没有足够的权限取操作,需要先去掉s属性才能进行后续的操作。 改变系统文件夹图标 通过更改文件夹名称,能更改文件夹图标和双击打开的动作(命令行模式仍可以正常使用)。...查看 在svchost进程下成功创建了notepad进程 当使用指定账户创建运行计划任务时,当前用户必须具有与之相对或者更高的权限 (使用管理员账户以ystem权限运行计划任务失败) 创建新服务(
CMD命令:开始->运行->键入cmd或command(在命令行里可以看到系统版本、文件系统版本) chcp 修改默认字符集 chcp 936 默认中文 chcp 65001 1. appwiz.cpl...:声音 45. mem.exe:显示内存使用情况(如果直接运行无效,可以先管理员身份运行命令提示符,在命令提示符里输入mem.exe>d:a.txt 即可打开d盘查看a.txt,里面的就是内存使用情况了...attrib [参数][源文件或目录] 文件属性操作命令,attrib命令可以列出或修改磁盘上文件的属性,文件属性包括文档(A)、只读(R)、隐藏(H)、系统(S),例如:attrib -h -r -s...io.sys 执行这一命令后,将把DOS系统文件io.sys文件的只读、隐藏、系统属性去掉,这时将可以直接通过dir命令看到io.sys文件。...(目录)的属性 attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存档,只读,系统,隐藏 属性;用+则是添加为某属性 dir 查看文件,参数:
这几天用了一下Windows系统的“黑框”,即win+R键,发现有些命令都忘了,还得查,就总结了一下: cmd命令 CMD命令:开始->运行->键入cmd或command(在命令行里可以看到系统版本、文件系统版本...:声音 45. mem.exe:显示内存使用情况(如果直接运行无效,可以先管理员身份运行命令提示符,在命令提示符里输入mem.exe>d:a.txt 即可打开d盘查看a.txt,里面的就是内存使用情况了...attrib [参数][源文件或目录] 文件属性操作命令,attrib命令可以列出或修改磁盘上文件的属性,文件属性包括文档(A)、只读(R)、隐藏(H)、系统(S),例如:attrib -h -r -s...io.sys 执行这一命令后,将把DOS系统文件io.sys文件的只读、隐藏、系统属性去掉,这时将可以直接通过dir命令看到io.sys文件。...(目录)的属性 attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存档,只读,系统,隐藏 属性;用+则是添加为某属性 dir 查看文件,参数:/
,使平台更加安全稳定的运行下去。...威胁情报在事前可以起到预警的作用,在威胁发生时可以协助进行检测和响应,在事后可以用于分析和溯源。...SSH 是否禁用ROOT登录 是否禁用密码连接 6.5.3.3. MySQL 文件写权限设置 用户授权表管理 日志是否启用 版本是否最新 6.5.4. Web中间件 6.5.4.1....Apache 版本号隐藏 版本是否最新 禁用部分HTTP动词 关闭Trace 禁止 server-status 上传文件大小限制 目录权限设置 是否允许路由重写 是否允许列目录 日志配置 配置超时时间防...隐藏技术 蜜罐主要涉及到的是伪装技术,主要涉及到进程隐藏、服务伪装等技术。 蜜罐之间的隐藏,要求蜜罐之间相互隐蔽。进程隐藏,蜜罐需要隐藏监控、信息收集等进程。
隐藏文件 VBS生成随机数(521是生成规则,不同的数字生成的规则不一样,可以用于其它用途) VBS删除桌面IE图标(非快捷方式) VBS获取自身文件名 VBS读取Unicode编码的文件 VBS读取指定编码的文件...\Desktop\NameSpace 下面所有键的名字并循环输出 VBS创建txt文件 VBS创建文件夹 VBS判断文件夹是否存在 VBS使用变量判断文件夹 VBS加输入框 Dim fso,TestFile...,在cmd下运行,格式: cscript 1.vbs的话,会在当前系统加一个名字为lcx,密码为123456的管理员。...dos命令像net group “domain admins” /domain可以做为一个判断的标准,不过vbs也可以做到的,这仍然属于adsi部份的内容,代码如下: 只用这两句代码就足够了,运行cscript...vbs的在入侵中的作用当然不只这些,当然用js或其它工具也可以实现我上述代码的功能;不过这个专栏定下的题目是vbs在hacking中的妙用,所以我们只提vbs。
我这样理解,COM对象就是一些具有特定函数功能项程序模块,他们一般以ocx或者dll作为扩展名,你只要找到包含有你需要的功能的模块文件,并在脚本中规范的引用,就可以实现特定的功能,也就是说Vbs脚本就是调用现成的...你可以在脚本的开头添加 On Error Resume Next 这行语句可以告诉vbs在运行时跳过发生错误的语句,紧接着执行跟在它后面的语句。..._Process 类定义,以便从在您的本地计算机上运行的进程检索一些属性。...“对象编辑器”对话框显示被选定类的定义和实现的详细信息(属性和方法)。选择 Hide System Properties 复选框隐藏系统属性。...[作者:临汾市外事旅游局薛靖澜,转载请注明出处]剩余的 Win32_Process 属性表示您可以从在本地或远程计算机上运行的进程检索的信息。
Roaming这里的这个病毒文件删除显示正在运行无删除。。 ? Startup这里病毒文件可以删除,但是删除后还会恢复。...至于为什么放在这里是有原因的,Startup这个文件夹Windows显示的是开始菜单程序启动,在这个文件夹里面的程序windows开机会自动运行,所以感染了病毒的电脑开机病毒就会自动运行。...删除后的图片。 ? 将wscript.exe进程结束掉以后就可以删除之前提示正在运行的病毒文件了。2个路径的病毒删除以后。设置显示隐藏文件,删除U盘的病毒文件。...然后打开电脑开始菜单输入cmd打开Dos窗口,因为被病毒隐藏的文件属性是无法修改的。所以需要使用DOS命令。输入以下命令恢复U盘文件。 ?...del *.lnk *.vbs *.inf atteib -r -s -h /s /d 在没执行del命令以前 删除了U盘中的病毒文件打开快捷方式就会提示无法打开病毒名称.vbs这个文件。
首先,创建新建文本文件,里面内容如下,保存后将后缀改为vbs(建议将文件丢到我的文档): set ws=WScript.CreateObject("WScript.Shell") ws.Run "c:...2、名字随意填写,勾选不管用户是否登录都运行。 3、触发器这栏,新建,选择启动时。 4、操作这栏,新建,程序和脚本这里选择刚才的创建vbs文件。 5、条件这栏,把只交流电源勾选去掉。...6、设置这栏,把运行超过3天停止任务勾选去掉 如果提示任务计划程序输入运行此任务的用户账户信息 在常规里更改用户或组,选择高级,立即查找选择SYSTEM就可以了,要不然修改了用户密码,计划就不运行了 最后...,重启电脑,frp脚本就会随开机运行了。
绕过防御 .msi是第一阶段的 Dropper,在目录中创建随机合法文件 C:\Program Files (x86)\Sun Technology Network\Oracle Java SE。...提权 nsudo.bat通过验证对 SYSTEM 配置单元的访问权限来检查当前的执行上下文是否具有权限。...攻击者利用此程序来生成具有 TrustedInstaller权限的进程。...该脚本 autorun100.bat下载文件并放置在启动文件夹 %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup...,该脚本确保 WinDefend 服务在下次启动时被删除。
攻击者可以欺骗用户运行含有该漏洞的 PPT 文件,导致获取和当前登录用户相同的代码执行权限。...https://www.shellterproject.com/ SigThief 由于一些反病毒厂商在进行病毒查杀的时候首先会检查软件的签名,而且对于一些白名单签名机构发布的签名不检查签名是否真的有效...https://github.com/Mr-Un1k0d3r/ClickOnceGenerator macro_pack 这个工具可以轻松生成多种格式的恶意文件,如恶意 Office 文档、恶意脚本(VBS.../Worse-PDF SpookFlare 这个工具提供了多种方法来绕过安全防御措施,它可以生成 Metesploit、Empire、 Koadic 的加载器或后门,它具有混淆、编码、运行时代码编译和字符串替换等功能...,将自定义的 shellcode 注入到二进制文件中,在二进制文件启动时执行指定的 shellcode。
VBS病毒: VBS是Windows上经常见到的脚本文件,编写简单,功能强大,这类病毒十分常见就不多说了。...CAD结合VBS病毒: 这次分析的是CAD和VBS结合的一种蠕虫病毒,由CAD生成VBS,并且再次打包恶意CAD脚本进行邮件传播,并且偷取用户图纸文件,可谓是“狼狈为奸”。...CAD脚本的功能: 1、执行,复制,生成VBS。 ? 尝试将自身复制到以下位置: ? 并且增加只读和隐藏属性,运行自删除。 ?...添加到acadVersion.lsp文件,因为每次打开图纸或者软件,都会自动加载该文件,所以可以保证每次打开CAD图纸时自动加载病毒文件,并且生成VBS传播,也就是每次打开一张图纸就会传播一次。...,更不要下载运行。
应该注意的是,WMI 事件作为 SYSTEM 运行,在重新启动后持续存在,并且需要管理员级别的权限才能使用此技术。 OF 托管对象格式 (MOF) 是用于描述 CIM(通用信息模型)类的语言。...PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台的 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库中。...shellcode 原始文件生成 VBS 格式的无阶段负载。...以下模块可以在特定的每日时间、登录失败期间和启动时 5 分钟内执行有效负载。...“ wmi_updater ” 模块能够从远程位置获取有效负载,而不是将其存储在 WMI 存储库中。它将注册为“ AutoUpdater ”,并且可以在启动时或一天中的特定时间设置触发器。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
