Windows应急响应-PcShare远控木马

news2024/11/6 3:12:54

文章目录

  • 应急背景
  • 木马查杀
    • 1.查看异常连接
    • 2.查看进程
    • 3.查看服务
      • 定位到注册表
    • 开始查杀
  • 入侵排查
    • 1.账户排查
    • 2.开机自启
    • 3.服务
    • 4.计划任务
    • 5.网络情况
    • 6.进程排查
    • 重启再排查一遍

应急背景

曲某今天想要装一款软件,通过网上搜索看到非官方网站进入后直接下载下来后进行安装,他发现双击安装的时候存在无响应一段时间后才开始安装,由于他自己电脑是新的而且配置也不错,没有遇到过这种情况,感觉可能这个安装软件有问题 ,所以他就找到了竹某,希望帮他排查一下电脑是否中病毒木马了。
竹某了解情况后就上机进行排查。

木马查杀

1.查看异常连接

netstat -ano | findstr "ESTABLISHED"

发现存在异常连接
在这里插入图片描述

线索卡
1.异常连接,端口号4024

2.查看进程

使用PChunter工具
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3–q0u94pw?pwd=w3rb
查看进程模块
在这里插入图片描述
发现有两个dll调用模块没有厂商签名验证
在这里插入图片描述
这里使用sigcheck再次对签名进行校验判断,两个dll文件确实是没有校验的。
Sigcheck工具分享地址:
https://pan.baidu.com/s/1qqA5T1ySskwc-_gVWO1MDA?pwd=d7jl
使用方法:signatrue.exe 指定文件路径
在这里插入图片描述

接着拷贝出来丢到沙箱上,结果出来就确定是木马,看到特征Variant.PcClient,可能是PcShare远控木马。
在这里插入图片描述在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )

3.查看服务

tasklist /svc | findstr "4024"

这里看到是微信的服务名,而且还是svchost.exe,但是我们没有开微信程序,而且所有网页都关闭了,这边只有这个是建立连接的,还是比较可疑,所以要继续排查。
在这里插入图片描述
PChunter定位到该服务,可以看到依旧是没有签名校验,
在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务

定位到注册表

通过异常服务可以定位到注册表数据
在这里插入图片描述
从这里也能看到注册表中记录了后门dll的文件名路径
在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务
3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

开始查杀

1.把进程杀掉
杀进程之前删看能否删掉后门dll文件
删除对应的后门dll模块
通过PChunter定位到文件位置,或者在PChunter中直接删除也行
在这里插入图片描述
在这里插入图片描述
接着就可以停掉进程了

taskkill /F /PID 4024

发现使用命令删不掉
在这里插入图片描述
尝试使用PChunter进行删除
在这里插入图片描述
成功结束进程
在这里插入图片描述
3.服务删除干净(包括注册表)
先定位到注册表将其删除
在这里插入图片描述
假设你要手动删除的话,要注意有几个地方都需要你留意删除干净,展开查看是否有service相关的目录项,有的话就需要排查,查看是否存在Wechat与后门dll文件相关的注册表,需要删除干净一点。
在这里插入图片描述

在这里插入图片描述
我这里用了Process Hacker删除服务,能删的挺彻底的,会把注册表所有相关的都删干净。
Process Hacker工具分享地址:
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
在这里插入图片描述

不建议使用PChunterAntoruns来删除,删不干净,实测发现会将注册表中主要的删除,剩下另外的几个目录项还有残留。
PChunter不会删除相应文件。
autoruns删除后进行查看发现剩下三个目录项都没删干净,可能autoruns只能删除开机自启相关的,只能继续手工将其残留项删除。
在这里插入图片描述

线索卡
√已解决1.异常连接,端口号4024

√已解决2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )

√已解决3.WeChat异常服务

√已解决3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

入侵排查

1.账户排查

这里省略步骤了,遇到了再详细提,这里账号没问题
主要排查以下几点:

  • 克隆账号(注册表)
  • 隐藏账户(注册表)
  • 异常用户(net user/计算机管理账户)
  • 用户属组关系(比如:普通用户属组变成管理员组)
  • 查看账户是否允许远程登录(3389端口)

2.开机自启

可通过系统目录、注册表查看开机自启
但是我这里直接使用Autoruns排查了,一切正常
Autoruns工具分享链接:
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
在这里插入图片描述

3.服务

可通过PChunter查看之前的服务是否还在,同时着重排查没有文件厂商签名校验的。一切正常。
在这里插入图片描述

4.计划任务

同样在PChunter中查看,着重看没有签名校验的。
在这里插入图片描述

5.网络情况

netstat -ano

在这里插入图片描述

6.进程排查

这里同样可以使用PChunter等工具辅助查看,主要排查svchost对应的进程模块是否存在wechat或者没有厂商签名校验的。没有发现异常。
在这里插入图片描述
查看pid对应程序以及对应的服务名

tasklist /svc

在这里插入图片描述

重启再排查一遍

因为我们已经知道了是远控木马,所以这里排查的话就根据我们查杀过程走一遍。
在这里插入图片描述

1.查看对外连接netstat
2.异常进程是否又再起来了
3.svchost.exe中是否还有未签名校验的模块(留意wechat字眼模块)
4.查看服务是否存在wechat字眼


此时此刻一名黑客正在emo他的肉鸡没了
在这里插入图片描述


一切正常,收工。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2181867.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

毕业设计选题:基于ssm+vue+uniapp的购物系统小程序

开发语言:Java框架:ssmuniappJDK版本:JDK1.8服务器:tomcat7数据库:mysql 5.7(一定要5.7版本)数据库工具:Navicat11开发软件:eclipse/myeclipse/ideaMaven包:M…

DSPy101

DSPy 介绍 DSPy(Declarative Self-improved Language Programs in Python) 是一个用于系统化和增强在流水线内使用语言模型的框架,它通过数据驱动和意图驱动的系统来优化大型语言模型(LLM)的使用。 DSPy 的核心是模块…

我的笔记本电脑之前可以直接用音量键调节音量,后来需要fn键加音量键才能调节,这是为什么?

我的笔记本电脑之前可以直接用音量键调节音量,后来需要fn键加音量键才能调节,这是为什么? 直接按 FnEsc就能解除Fn的锁定

信息安全数学基础(24)模为奇数的平方剩余与平方非剩余

前言 在信息安全数学基础中,模为奇数的平方剩余与平方非剩余是数论中的一个重要概念,特别是在密码学和安全协议中扮演着关键角色。当模数为奇数时,我们通常关注的是模为奇素数的平方剩余与平方非剩余,因为奇合数的情况更为复杂且…

【数学分析笔记】第4章第2节 导数的意义和性质(2)

4. 微分 4.2 导数的意义与性质 4.2.3 单侧导数 f ′ ( x ) lim ⁡ Δ x → 0 f ( x Δ x ) − f ( x ) Δ x lim ⁡ x → x 0 f ( x ) − f ( x 0 ) x − x 0 f(x)\lim\limits_{\Delta x\to 0}\frac{f(x\Delta x)-f(x)}{\Delta x}\lim\limits_{x\to x_0}\frac{f(x)-f(x_0)…

Golang | Leetcode Golang题解之第448题找到所有数组中消失的数字

题目&#xff1a; 题解&#xff1a; func findDisappearedNumbers(nums []int) (ans []int) {n : len(nums)for _, v : range nums {v (v - 1) % nnums[v] n}for i, v : range nums {if v < n {ans append(ans, i1)}}return }

OceanBase企业级分布式关系数据库

简介 OceanBase 数据库是阿里巴巴和蚂蚁集团不基于任何开源产品&#xff0c;完全自研的原生分布式关系数据库软件&#xff0c;在普通硬件上实现金融级高可用&#xff0c;首创“三地五中心”城市级故障自动无损容灾新标准&#xff0c;具备卓越的水平扩展能力&#xff0c;全球首…

使用微服务Spring Cloud集成Kafka实现异步通信(消费者)

1、本文架构 本文目标是使用微服务Spring Cloud集成Kafka实现异步通信。其中Kafka Server部署在Ubuntu虚拟机上&#xff0c;微服务部署在Windows 11系统上&#xff0c;Kafka Producer微服务和Kafka Consumer微服务分别注册到Eureka注册中心。Kafka Producer和Kafka Consumer之…

Ajax ( 是什么、URL、axios、HTTP、快速收集表单 )Day01

AJAX 一、Ajax是什么1.1名词解释1.1.1 服务器1.1.2 同步与异步1. 同步&#xff08;Synchronous&#xff09;2. 异步&#xff08;Asynchronous&#xff09;3. 异步 vs 同步 场景4. 异步在 Web 开发中的常见应用&#xff1a; 1.2 URL 统一资源定位符1.2.1 URL - 查询参数1.2.2 ax…

经典RCU锁原理及Linux内核实现

经典RCU锁原理及Linux内核实现 RCU锁原理 RCU锁第一个特点就是适用于读很多写很少的场景&#xff0c;那它和读写锁有什么区别呢&#xff1f;区别就是RCU锁读者完全不用加锁&#xff08;多个写者之间仍需要竞争锁&#xff09;&#xff0c;而读写锁&#xff08;不管是读优先、写…

https://www.aitoolpath.com/ 一个工具数据库,目前储存了有2000+各种工具。每日更新

AI 工具爆炸&#xff1f;别怕&#xff0c;这个网站帮你整理好了&#xff01; 哇塞&#xff0c;兄弟们&#xff01;AI 时代真的来了&#xff01;现在各种 AI 工具跟雨后春笋似的&#xff0c;噌噌噌地往外冒。AI 写作、AI 绘画、AI 代码生成……简直是要逆天啊&#xff01; 可是…

XSS | XSS 常用语句以及绕过思路

关注这个漏洞的其他相关笔记&#xff1a;XSS 漏洞 - 学习手册-CSDN博客 0x01&#xff1a;干货 - XSS 测试常用标签语句 0x0101&#xff1a;<a> 标签 <!-- 点击链接触发 - JavaScript 伪协议 --><a hrefjavascript:console.log(1)>XSS1</a> <!-- 字…

智能制造--EAP设备自动化程序

EAP是设备自动化程序&#xff08;Equipment Automation Program&#xff09;的缩写&#xff0c;他是一种用于控制制造设备进行自动化生产的系统。EAP系统与MES系统整合&#xff0c;校验产品信息&#xff0c;自动做账&#xff0c;同时收集产品生产过程中的制程数据和设备参数数据…

Spring MVC__入门

目录 一、SpringMVC简介1、什么是MVC2、什么是SpringMVC 二、Spring MVC实现原理2.1核心组件2.2工作流程 三、helloworld1、开发环境2、创建maven工程3、配置web.xml4、创建请求控制器5、创建springMVC的配置文件6、测试HelloWorld7、总结 一、SpringMVC简介 1、什么是MVC MV…

git 报错git: ‘remote-https‘ is not a git command. See ‘git --help‘.

报错内容 原因与解决方案 第一种情况&#xff1a;git路径错误 第一种很好解决&#xff0c;在环境变量中配置正确的git路径即可&#xff1b; 第二种情况 git缺少依赖 这个情况&#xff0c;网上提供了多种解决方案。但如果比较懒&#xff0c;可以直接把仓库地址的https改成ht…

【Kotlin基于selenium实现自动化测试】初识selenium以及搭建项目基本骨架(1)

导读大纲 1.1 Java: Selenium 首选语言1.2 配置一个强大的开发环境 1.1 Java: Selenium 首选语言 Java 是开发人员和测试人员进行自动化 Web 测试的首选 Java 和 Selenium 之间的协同作用受到各种因素的驱动,从而提高它们的有效性 为什么Java经常被认为是Selenium的首选语言 广…

记录一次出现循环依赖问题

具体的结构设计&#xff1a; 在上面的图片中&#xff1a; UnboundBlackVerifyChain类中继承了UnboundChain类。但是UnboundChain类中注入了下面三个类。 Scope(“prototype”) UnboundLinkFlowCheck类 Scope(“prototype”) UnboundUserNameCheck类 Scope(“prototype”) Un…

[linux 驱动]input输入子系统详解与实战

目录 1 描述 2 结构体 2.1 input_class 2.2 input_dev 2.4 input_event 2.4 input_dev_type 3 input接口 3.1 input_allocate_device 3.2 input_free_device 3.3 input_register_device 3.4 input_unregister_device 3.5 input_event 3.6 input_sync 3.7 input_se…

用网络分析仪测试功分器驻波的5个步骤

在射频系统中&#xff0c;功分器的驻波比直接关系到信号的稳定性和传输效率。本文将带您深入了解驻波比的测试方法和影响其结果的因素。 一、功分器驻波比 驻波(Voltage Standing Wave Ratio)&#xff0c;简称SWR或VSWR&#xff0c;是指频率相同、传输方向相反的两种波&#xf…

.NET Core 高性能并发编程

一、高性能大并发架构设计 .NET Core 是一个高性能、可扩展的开发框架&#xff0c;可以用于构建各种类型的应用程序&#xff0c;包括高性能大并发应用程序。为了设计和开发高性能大并发 .NET Core 应用程序&#xff0c;需要考虑以下几个方面&#xff1a; 1. 异步编程 异步编程…