lnk文件木马

最新推荐文章于 2020-07-28 23:39:17 发布
最新推荐文章于 2020-07-28 23:39:17 发布
阅读量1.7k 收藏
点赞数
分类专栏: 病毒记录 文章标签: lnk木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cqu20124793/article/details/86690310
版权

最早出现是几年前, 最近几年貌似蛮流行的.
微软官方对lnk文件的介绍

phrozen的三篇文章:
shortcut as entrypoint of malware part1
shortcut as entrypoint of malware part2
shortcut as entrypoint of malware part2

主要内容概括:
第一篇讲到建立快捷方式, 然后在快捷方式目标栏利用系统内置
bitsadmin.exe 下载文件
第二篇讲到把一个EXE转成脚本中的数组, 然后将脚本放到目标栏中. lnk执行后, 执行脚本释放EXE并执行.
第三篇讲到把一个EXE用base64编码后, 写到lnk文件的尾部. 在lnk目标栏中的脚本功能为, 用findstr找到自身文件尾部base64编码后的PE文件的开始位置, 读取数据后用certutil解码后释放PE文件并运行.

第二篇的的限制是EXE文件不能太大, 因为EXE数据是转成脚本中的数组数据形式存在的, 所以填入目标栏会很长.
第三篇就解决了第二篇的限制, 因为它的数据是写在lnk文件的尾部, 所以就可以想多大就多大.

这边除了用cmd, 也还可以用powershell, 然后这两个东西的字符串混淆方式也很多, 所以想光靠静态检测目标栏字符串来判断lnk文件是否恶意就不靠谱.
有关混淆的, powershell混淆, cmd混淆

另外, 在目标栏前面写0x104个空格, 这样就可以隐藏你目标栏参数.

cqu20124793
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LNKUp:生成恶意的LNK文件有效载荷以进行数据泄露
02-06
LNKUp LNK数据泄漏有效载荷生成器 该工具将允许您生成LNK有效载荷。 在渲染或运行时,它们将泄漏数据。 信息 您对使用此工具执行的任何操作,我概不负责! 您可以通过打开问题或通过我的Twitter 与任何问题联系我。 已知陷阱 该工具在OSX或Linux计算机上不起作用。 它是专门针对目标窗口而设计的。 在某些情况下,图标缓存可能会出现问题。 如果您的有效负载在第一次之后没有执行,请尝试重新生成它。 您将需要运行响应器或服务器以捕获NTLM哈希。 要捕获环境变量,您需要运行网络服务器,如apache,nginx或什至仅 安装 使用安装要求pip install -r requir
可牛ink木马专杀工具
06-05
桌面木马专杀工具,专门查杀ink类型的木马,超好用的哦
专杀快捷方式木马 lnk木马专杀
06-10
lnk木马专杀 专杀快捷方式木马,当你的计算机文件夹全部变成了,快捷方式时,用这个就可以杀了。
文件流.lnk
12-03
文件流.lnk
lnk木马专杀软件(压缩包)
07-13
专门查杀lnk木马的一小工具 占用系统资源小好用方便.本人用过360不报毒 可放心使用
Cobalt Strike之LINK木马
浅笑996的博客
11-15 1238
在同一目录下 新建一个exp.ps1 一个test.txt exp.ps1代码 $file = Get-Content "test.txt" $WshShell = New-Object -comObject WScript.Shell $Shortcut = $WshShell.CreateShortcut("test.lnk") $Shortcut.TargetPath = "%System...
[远程控制]木马伪装:图片
不忘初心,护天下安全!
07-28 4032
前言 坦言道,自己在最近的渗透之路碰了很多次壁,钓鱼大神们让我羡慕不已。而钓鱼的弹药里面必不可少的就是木马了,最近都在流行快捷方式马(lnk马),这次就不多介绍,从最简单的图片马伪装给大家介绍。 伪装,改变不了被杀,只是改改面目而已。友情提醒,如果不会免杀,那就只是徒增笑资罢了。 伪装进行时 这次介绍的工具为BD2 Net Injector,百度下载即可,要注意后门哈。 首先,我们准备如下: 准备好的可执行文件(核心文件); 确定伪装的后缀; 用于伪装的图片; 图片未打开时的缩略ico文件
文件夹图标后缀名变成.ink的解决办法
joey_su的专栏
04-14 6884
问题描述 文件夹甚至是我的电脑的后缀名变成.ink,导致用户无法打开文件夹或我的电脑。 问题分析 用户操作失误修改文件夹或我的电脑扩展名; 后台木马程序恶意修改。 解决办法 开始>运行>输入CMD并回车>在命令行中输入assoc .lnk=lnkfile并回车即可;若上述方法无效,建议安装金山毒霸等杀毒软件或安全工具进行木马查杀。
桌面图标全变成.lnk的图标(WIN7系统电脑除了计算机,网络,回收站以外(包括开始菜单)的图标全都变成后缀为.lnk文件)...
webdev
11-27 1602
前两天一个同学的电脑发生了此种情况,所有(包括开始菜单里的所有东西)快捷方式都变为了浏览器的.lnk(快捷方式)文件,而且一打开东西,浏览器(因为默认都变为了浏览器的快捷方式)就不停的闪动,之后其它操作都无效了,只能强制关机重启。 究其原因应该是恶意程序修改了计算机的注册表所致,但用各种杀毒软件都查不出有病毒威胁。至于网上大多的解决方法好像都没成效。 解决方法: 1、首先 win...
LNK图标漏洞木马出现新变种 可利用快捷方式远程攻击
keniushadu的专栏
07-26 793
微软近日曝出“LNK图标漏洞”,引发2010年来安全领域最大的震荡,可牛安全中心在17日率先在国内截获利用“LNK图标漏洞”传播的木马样本并发布了对应的免疫方案和应急修复补丁。但是,距离微软发布正式补丁还有二十天,木马制作者的攻击手段还在不断的翻新。
Windows快捷方式.lnk文件格式
09-22
非常全面的Windows快捷方式.lnk文件格式
lnk Virus执行vbs的文件及解密后的vbs函数
08-25
我的CSDN博客反病毒系列文章需要的样本资源.解压密码infected. blog.csdn.net/dalerkd
最新lnk病毒专杀 保护你的电脑
06-13
可以检测并修复电脑中被LNK病毒修改的部分。
sality感染文件恢复算法
你连心爱的女人的大便都不敢吃, 还敢说爱她
01-01 3283
实习期的一个任务, 写sality专杀. 首先逆向了ag的母体, 因为之前没接触该病毒, 就把ag详细看了遍, 之后开始看其他的变种. 其中ag,bh较复杂, bh是ag的一种特殊情况, 即那两个key均为0的情况. 相关代码: 这代码中的startVM为一个指令模拟虚拟机, 用于模拟指令执行并得到病毒跳转出口值(push reg/ret, jmp reg这两种情况), 这虚拟机代码是公司的所以就...
virut感染文件恢复算法
你连心爱的女人的大便都不敢吃, 还敢说爱她
01-01 1288
接上一篇:virut文件感染算法 上一篇是在我阅读完virut感染代码后立刻写的, 然后这几天我在写恢复算法, 今天差不多完成了, 写的同时, 发现有的地方我理解地不准确. 例如, 当直接修改oep而不通过hook点1来跳转到病毒代码时, 是没有那两句c6 05/ c7 05的, 此时就通过计算来得到oep值, 也就是我源代码中的backvalue1和backvalue2. 源代码VS2017解...
virut文件感染算法
你连心爱的女人的大便都不敢吃, 还敢说爱她
01-01 938
文章目录随便词汇大流程感染过程大流程按照流程顺序---几个重要的点附录is_junk标志方式病毒块1分块指令块变形复制结构其他零碎函数声明rand_mul的返回值为rax突然增加一个变量,而且从来没有赋值? 随便 该变种+0x20处的值为0x2b845b00 根据IDA F5代码的反人类程度, 可以确定virut肯定是作者用汇编写的. 然后IDA F5先转成IL, 简化后生成C代码, 只有这样生成...
两种进程遍历方式
你连心爱的女人的大便都不敢吃, 还敢说爱她
09-10 463
病毒样本MD5: 642A393A5C65D202180DF5AF06F29C5A #include <windows.h> #include <stdio.h> //通过HKEY_PERFORMANCE_DATA遍历进程. ----- 从nimda病毒中发现的这种方式. //https://docs.microsof
SHA1:3670e86d024ccecc39c2a237d550b2ce7e7d95b1
你连心爱的女人的大便都不敢吃, 还敢说爱她
09-06 261
一个避免启发式扫描的方式 bj_sub_403140_registerclass(hInstance); if ( bj_sub_4031A0_createwindow(hInstance, nShowCmd) ) { v4 = CreateThread(0, 0, StartAddress, 0, 0, 0); if ( v4 ) { ...
bat文件如何创建lnk
最新发布
09-05
### 回答1: 要创建 .lnk 文件,您需要使用 Windows 命令提示符或 PowerShell。 在命令提示符中,您可以使用以下命令: ``` mklink /H LinkName Target ``` 其中,LinkName 是您想要创建的快捷方式的名称,Target 是该快捷方式指向的目标文件的路径。 例如,如果您想要创建一个快捷方式,该快捷方式指向 C:\Program Files\MyApp\MyApp.exe,并将其命名为 "My App Shortcut",则可以使用以下命令: ``` mklink /H "My App Shortcut.lnk" "C:\Program Files\MyApp\MyApp.exe" ``` 在 PowerShell 中,您可以使用以下命令: ``` New-Item -ItemType SymbolicLink -Path LinkName -Value Target ``` 其中,LinkName 是您想要创建的快捷方式的名称,Target 是该快捷方式指向的目标文件的路径。 例如,如果您想要创建一个快捷方式,该快捷方式指向 C:\Program Files\MyApp\MyApp.exe,并将其命名为 "My App Shortcut",则可以使用以下命令: ``` New-Item -ItemType SymbolicLink -Path "My App Shortcut.lnk" -Value "C:\Program Files\MyApp\MyApp.exe" ``` 注意:在 PowerShell 中,您不需要使用 .lnk 后缀。 您可以使用以下步骤在 bat 文件中创建 .lnk 文件: 1. 打开文本编辑器,并输入以上命令。 2. 保存文件,并使用 .bat 后 ### 回答2: 要在bat文件中创建lnk文件,可以使用VBScript或PowerShell脚本来实现。以下是使用VBScript和PowerShell分别创建lnk文件的示例: 1. 使用VBScript: 创建一个新的文本文件,将以下代码复制到文件中,然后将文件的扩展名改为.vbs。 ``` Set oWS = WScript.CreateObject("WScript.Shell") sLinkFile = "C:\路径\文件.lnk" '你想要创建的lnk文件的完整路径 Set oLink = oWS.CreateShortcut(sLinkFile) oLink.TargetPath = "C:\路径\目标文件.exe" '要创建快捷方式的目标文件的完整路径 oLink.Save ``` 将上面的代码中的"C:\路径\文件.lnk"和"C:\路径\目标文件.exe"替换为你要的实际路径和文件名。保存并运行该vbs文件,即可创建lnk文件。 2. 使用PowerShell: 创建一个新的文本文件,将以下代码复制到文件中,然后将文件的扩展名改为.ps1。 ``` $TargetFile = "C:\路径\目标文件.exe" #要创建快捷方式的目标文件的完整路径 $ShortcutFile = "C:\路径\文件.lnk" #你想要创建的lnk文件的完整路径 $WshShell = New-Object -ComObject WScript.Shell $Shortcut = $WshShell.CreateShortcut($ShortcutFile) $Shortcut.TargetPath = $TargetFile $Shortcut.Save() ``` 将上面的代码中的"C:\路径\文件.lnk"和"C:\路径\目标文件.exe"替换为你要的实际路径和文件名。保存并运行该ps1文件,即可创建lnk文件。 ### 回答3: 要在bat文件中创建快捷方式(.lnk文件),你可以使用VBScript来实现。VBScript是一种基于微软的Visual Basic语言的脚本语言,可以用来操作Windows操作系统。以下是在bat文件中使用VBScript创建快捷方式的步骤: 1. 首先,在bat文件中添加以下命令来创建一个.vbs(VBScript)文件: ``` echo Set oWS = WScript.CreateObject("WScript.Shell") > createShortcut.vbs echo sLinkFile = "%USERPROFILE%\Desktop\Shortcut.lnk" >> createShortcut.vbs echo Set oLink = oWS.CreateShortcut(sLinkFile) >> createShortcut.vbs echo oLink.TargetPath = "%CD%\YourProgram.exe" >> createShortcut.vbs echo oLink.Save >> createShortcut.vbs ``` 2. 然后,使用以下命令在bat文件中运行这个.vbs文件: ``` cscript createShortcut.vbs ``` 上述步骤的详细解释如下: - 第一行命令用于创建VBScript对象:WScript.Shell。这个对象提供了创建和操作快捷方式的方法。 - 第二行命令用于设置快捷方式文件的路径和名称。上述命令中的路径是当前用户的桌面路径,你可以根据需要修改。 - 第三行命令创建了一个快捷方式对象。 - 第四行命令设置快捷方式的目标路径。上述命令中使用了`%CD%`表示bat文件当前所在的路径,你可以根据需要修改为任何路径。 - 第五行命令保存快捷方式。 最后,你可以在bat文件中添加调用`cscript createShortcut.vbs`的命令来运行VBScript文件,实现创建快捷方式的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值