- 博客(2)
- 收藏
- 关注
RSS订阅原创 【HTB-Sherlocks-OpTinselTrace-3 WP 应急响应-内存取证】
使用命令 vol.py -f santaclaus.bin windows.filescan.FileScan | grep -E "\.txt|\.png|\.jpg|\.gif|\.zip|\.rar|\.7z|\.pdf|\.doc"检索可疑文件,发现有个present_for_santa.zip。把压缩包导出并解压后发现里面有两个文件,一个快捷方式一个vbs脚本,猜测为click_for_present文件,加上后缀名.lnk后提交。然后看代码,可以看到这里有个powerShell。
2023-12-26 10:55:35
911
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人