Windows应急响应-PcShare远控木马

于 2024-10-01 04:52:06 发布
阅读量448 收藏 9
点赞数 12
分类专栏: 网络安全 # Windows应急响应 文章标签: windows 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60521036/article/details/142665294
版权

文章目录

应急背景

曲某今天想要装一款软件,通过网上搜索看到非官方网站进入后直接下载下来后进行安装,他发现双击安装的时候存在无响应一段时间后才开始安装,由于他自己电脑是新的而且配置也不错,没有遇到过这种情况,感觉可能这个安装软件有问题 ,所以他就找到了竹某,希望帮他排查一下电脑是否中病毒木马了。
竹某了解情况后就上机进行排查。

木马查杀

1.查看异常连接

netstat -ano | findstr "ESTABLISHED"

发现存在异常连接
在这里插入图片描述

线索卡
1.异常连接,端口号4024

2.查看进程

使用PChunter工具
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3–q0u94pw?pwd=w3rb
查看进程模块
在这里插入图片描述
发现有两个dll调用模块没有厂商签名验证
在这里插入图片描述
这里使用sigcheck再次对签名进行校验判断,两个dll文件确实是没有校验的。
Sigcheck工具分享地址:
https://pan.baidu.com/s/1qqA5T1ySskwc-_gVWO1MDA?pwd=d7jl
使用方法:signatrue.exe 指定文件路径
在这里插入图片描述

接着拷贝出来丢到沙箱上,结果出来就确定是木马,看到特征Variant.PcClient,可能是PcShare远控木马。
在这里插入图片描述在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )

3.查看服务

tasklist /svc | findstr "4024"

这里看到是微信的服务名,而且还是svchost.exe,但是我们没有开微信程序,而且所有网页都关闭了,这边只有这个是建立连接的,还是比较可疑,所以要继续排查。
在这里插入图片描述
PChunter定位到该服务,可以看到依旧是没有签名校验,
在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务

定位到注册表

通过异常服务可以定位到注册表数据
在这里插入图片描述
从这里也能看到注册表中记录了后门dll的文件名路径
在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务
3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

开始查杀

1.把进程杀掉
杀进程之前删看能否删掉后门dll文件
删除对应的后门dll模块
通过PChunter定位到文件位置,或者在PChunter中直接删除也行
在这里插入图片描述
在这里插入图片描述
接着就可以停掉进程了

taskkill /F /PID 4024

发现使用命令删不掉
在这里插入图片描述
尝试使用PChunter进行删除
在这里插入图片描述
成功结束进程
在这里插入图片描述
3.服务删除干净(包括注册表)
先定位到注册表将其删除
在这里插入图片描述
假设你要手动删除的话,要注意有几个地方都需要你留意删除干净,展开查看是否有service相关的目录项,有的话就需要排查,查看是否存在Wechat与后门dll文件相关的注册表,需要删除干净一点。
在这里插入图片描述

在这里插入图片描述
我这里用了Process Hacker删除服务,能删的挺彻底的,会把注册表所有相关的都删干净。
Process Hacker工具分享地址:
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
在这里插入图片描述

不建议使用PChunterAntoruns来删除,删不干净,实测发现会将注册表中主要的删除,剩下另外的几个目录项还有残留。
PChunter不会删除相应文件。
autoruns删除后进行查看发现剩下三个目录项都没删干净,可能autoruns只能删除开机自启相关的,只能继续手工将其残留项删除。
在这里插入图片描述

线索卡
√已解决1.异常连接,端口号4024

√已解决2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )

√已解决3.WeChat异常服务

√已解决3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

入侵排查

1.账户排查

这里省略步骤了,遇到了再详细提,这里账号没问题
主要排查以下几点:

  • 克隆账号(注册表)
  • 隐藏账户(注册表)
  • 异常用户(net user/计算机管理账户)
  • 用户属组关系(比如:普通用户属组变成管理员组)
  • 查看账户是否允许远程登录(3389端口)

2.开机自启

可通过系统目录、注册表查看开机自启
但是我这里直接使用Autoruns排查了,一切正常
Autoruns工具分享链接:
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
在这里插入图片描述

3.服务

可通过PChunter查看之前的服务是否还在,同时着重排查没有文件厂商签名校验的。一切正常。
在这里插入图片描述

4.计划任务

同样在PChunter中查看,着重看没有签名校验的。
在这里插入图片描述

5.网络情况

netstat -ano

在这里插入图片描述

6.进程排查

这里同样可以使用PChunter等工具辅助查看,主要排查svchost对应的进程模块是否存在wechat或者没有厂商签名校验的。没有发现异常。
在这里插入图片描述
查看pid对应程序以及对应的服务名

tasklist /svc

在这里插入图片描述

重启再排查一遍

因为我们已经知道了是远控木马,所以这里排查的话就根据我们查杀过程走一遍。
在这里插入图片描述

1.查看对外连接netstat
2.异常进程是否又再起来了
3.svchost.exe中是否还有未签名校验的模块(留意wechat字眼模块)
4.查看服务是否存在wechat字眼

此时此刻一名黑客正在emo他的肉鸡没了
在这里插入图片描述

一切正常,收工。

竹等寒
关注
专栏目录
阿一网络安全学院干货科普篇之应急响应【上】
qq_69775412的博客
06-17 1134
安全人员在遇到突发事件后所采取的措施和行动。发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。积极预防、及时发现、快速反应、确保恢复。
网络安全应急响应
赤赤三的博客
03-30 1548
应急响应(是有一整套流程的): 原理: 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施 阶段: 准备->启动->抑制->根除->恢复->跟进 准备应急工具,相应的应急文档、合同、保密协议,开会沟通 启动:讨论这个是怎么进来的 抑制:切断受感染主机,拔网线,网络隔离 根除:查找病毒木马,分析日志,溯源,打补丁 恢复:业务恢复 跟进:监控,看是否还会进来 详细流程: 准备阶段: ..
安全基础--23--应急响应(上)
武天旭的博客
10-04 7154
一、相关概念 应急响应(Incident Response):安全人员在遇到突发事件后所采取的措施和行动。 突发事件:发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。 事件响应:信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。 场景:运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。 职责:控制影响范围确保业务正常运转、...
测试渗透前置知识-行业术语
TianYao
02-10 7573
测试渗透前置知识-行业术语1.肉鸡3.远控4.黑页5.挂马6.大马7.小马8.一句话后门9.后门10.拖库11.社工库12.撞库13.提权14.网络钓鱼15.社会工程学攻击16.rootkit17.IPC$18.弱口令19.默认共享20.shell21.交互式shell22.webshell23.溢出24.注入25.注入点26.旁站入侵27.C段渗透28.内网:29.外网30.中间人攻击31.端口32.免杀33.加壳34.花指令35.TCP/IP36.蜜罐37.拒绝服务攻击38.CC攻击39.脚本注入攻击(
2017-美团大众点评-安全工程师A/B卷
不急不躁
03-08 3058
1、在 php + mysql + apache 架构的web服务中输入GET参数 index.php?a=1&a=2&a=3 服务器端脚本 index.php 中$GET[a] 的值是? A 1 B 2 C 3 D 1,2,3 参考答案: C 2、以下哪些不是CSRF漏洞的防御方案? A 检测HTTPreferer B 使用随机token C 使用验证码 D ...
wuyun知识库目录
Grey的博客
01-15 8185
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
安全术语扫盲
热门推荐
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
安全面试库(二)
学者博客
01-02 3617
1、在 php + mysql + apache 架构的web服务中输入GET参数 index.php?a=1&a=2&a=3 服务器端脚本 index.php 中$GET[a] 的值是? A 1 B 2 C 3 D 1,2,3 参考答案: C 2、以下哪些不是CSRF漏洞的防御方案? A 检测HTTPreferer B 使用随机token C 使用验证码 D html编码 ...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9085
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
pcshare 远控源码
10-26
"pcshare 远控源码"是一个涉及到计算机远程控制技术的软件开发项目,其核心是PcShare2005的源代码。这个项目显然基于古老的VC++6.0开发环境,这是一款由Microsoft在1998年推出的集成开发环境(IDE),尽管现在已经被...
C# 编写的PcShare远控程序源代码.rar
04-17
【标题】:“C# 编写的PcShare远控程序源代码” 【描述】中提到的是一个使用C#编程语言实现的远程控制程序,名为PcShare。远程控制软件允许用户通过网络对另一台计算机进行操作,如同在本地操作一样。这种技术常...
PCShare远控C#.Net版源代码
11-03
强大的著名远控PCShare的C#翻版 PCShare采用vc C#版的PCShare界面更美观 C#语言出来这么久了 似乎没看到C#语言写的远控,本源代码值得研究,此源代码为转载,使用过程中出现任何问题与本人无关。
PcShare远控源代码c#
06-03
【标题】"PcShare远控源代码c#"所涉及的知识点主要集中在远程控制技术和C#编程语言上。远程控制是指通过网络连接,使一台计算机能够对另一台计算机进行操作和控制,它在IT领域中有着广泛的应用,如远程桌面支持、...
C++-list使用学习
zc331的博客
09-27 1003
emplace_back也是尾插数据,但是可以直接传值去尾插,这样省去来拷贝构造的步骤,有一点优化;而push_back不能直接传值去初始化;list<A> l1;list<A> l2;//可以直接给值。
Linux基础入门 --13 DAY(SHELL脚本编程基础)
最新发布
alwtj的博客
09-30 467
1.shell支持算数运算,但只支持整数,不支持浮点数2.bash中的算数运算符% 取模** 乘方。
【Java】Java 8 Stream API
鹏啊鹏
09-30 643
Stream 是对数据源(如集合、数组等)元素的序列化抽象,支持许多操作,如过滤、排序、映射等。sorted 方法对流中的元素进行自然排序,或者你可以传递一个自定义的比较器(Comparator)。(中间操作):一系列可以连接起来的操作,比如 filter、map、flatMap 等,这些操作不会执行任何处理,而是生成一个新的流。(终端操作):会触发之前所有的中间操作,并且产生结果,如 collect、forEach、reduce 等。(流):是一个来自某种数据源的元素队列,它支持连续的管道式操作。
【hot100-java】【二叉树的层序遍历】
m0_73629042的博客
09-30 336
【代码】【hot100-java】【二叉树的层序遍历】
设计模式之迭代器模式
一个老Java开发的自白
09-27 717
迭代器模式是一种行为型设计模式,旨在提供一种方法顺序访问聚合对象中的元素,同时保持对聚合对象内部结构的封装。它包含迭代器、具体迭代器、聚合和具体聚合四个角色。迭代器模式的应用场景广泛,如访问聚合对象内容而不暴露其内部表示、支持多种遍历方式以及为不同聚合结构提供统一接口。此外,迭代器模式在软件设计中具有封装性、灵活性和可扩展性的重要性,并广泛应用于电商平台商品列表遍历、文件系统遍历和数据库查询结果遍历等实际案例中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值