首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
有谁知道Documents.7z这个是神马文件?
发表于: 2012-12-19 10:45 7378

有谁知道Documents.7z这个是神马文件?

HelloCrack 活跃值
2012-12-19 10:45
7378
C盘根目录下一直有一个Documents.7z这个文件,打开来里面有一个shell.log文件,
需要密码才能打开查看这个文件访问日期,一般都是在上班开机的时候。
但是它是不定日期的,我估计每个月只有一次访问的。
有谁见过这个东西,这个文件是不是木马偷走的用户信息。
是不是360的呢?还有那个文件的打开密码是多少呢?

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (9)
四叔
雪    币: 133
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
请提供源文件,大家才能替楼主进一步分析该文件属于什么类型。
2012-12-19 13:56
0
pallee
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
是不是你们单位对你们计算机的监控哈。
2012-12-19 22:07
0
HelloCrack
雪    币: 215
活跃值: (90)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
4
每个电脑都装了深信服,不装上不了网。难道是这个原因?
2012-12-20 10:09
0
HelloCrack
雪    币: 215
活跃值: (90)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
5
解压要密码,不知道这个附件会不会包含个人信息。有点当心!
2012-12-20 10:14
0
HelloCrack
雪    币: 215
活跃值: (90)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
6
用进程浏览器搜shell.log找到一些线索:

C:\Documents and Settings\All Users\Application Data\shell.log
这个文件有好多记录
1218-07:40:41        [D] Shell.cpp:312(StartHook){ingress.exe-2500-3856}:        StartHook Before

1218-07:40:43        [R] IMFinderRule.cpp:74(IMFinder::IMFinderRule::GetSpecialFileList){ingress.exe-2500-3856}:        SpecFile:KernelUtil.dll, SpecFileDir:.\

1218-07:40:43        [R] IMFinderRule.cpp:74(IMFinder::IMFinderRule::GetSpecialFileList){ingress.exe-2500-3856}:        SpecFile:KernelUtil.dll, SpecFileDir:.\

1218-07:40:43        [R] IMFinderRule.cpp:74(IMFinder::IMFinderRule::GetSpecialFileList){ingress.exe-2500-3856}:        SpecFile:uxcore.dll|msgrapp.dll, SpecFileDir:.\

1218-07:40:43        [I] Thread.cpp:105(ingresslib::WinThread::Start){ingress.exe-2500-3856}:        New Thread Created, Thread ID is 2244
1218-07:40:43        [I] Thread.cpp:105(ingresslib::WinThread::Start){ingress.exe-2500-2244}:        New Thread Created, Thread ID is 3428
1218-07:40:43        [D] SetHookThread.cpp:47(SetHookThread::ThreadStart){ingress.exe-2500-3428}:        [hook] m_hShellHook = 262989

1218-07:40:43        [D] Shell.cpp:336(StartHook){ingress.exe-2500-3856}:        StartHook Success

1218-07:40:43        [D] WatchDesktopThread.cpp:62(WatchDesktopThread::ThreadStart){ingress.exe-2500-2244}:        WatchDesktopThread Start Thread Success

1218-07:42:08        [E] ProcessInfo.cpp:83(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-1792}:        WinNameRule is 76060680 or CurrentWind is 0
1218-07:42:08        [D] Shell.cpp:103(CheckIMProcess){Explorer.EXE-1508-1792}:        [dllmain] pid = [1508]:Explorer.EXE, g_IsIMProcess = 0

1218-07:42:16        [R] ProcessInfo.cpp:100(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        Begin for 8
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=TXGuiFoundation, len=15
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=TXGuiFoundation, len=15
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=tSkMainForm.UnicodeClass, len=24
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=tSkMainForm, len=11
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=TConversationForm.UnicodeClass, len=30
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=TConversationForm, len=17
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=MSBLWindowClass, len=15
1218-07:42:16        [R] ProcessInfo.cpp:106(IMHijack::ProcessInfo::CheckIMProcessByWind){Explorer.EXE-1508-2984}:        strName=#32770, len=6, szWinName=IMWindowClass, len=13
1218-07:42:16        [D] Shell.cpp:103(CheckIMProcess){Explorer.EXE-1508-2984}:        [dllmain] pid = [1508]:Explorer.EXE, g_IsIMProcess = 0

还有一个文件
C:\Documents and Settings\All Users\Application Data\shell.log.crit
这个文件是空的

也就是说Documents.7z文件估计就是深信服的进程ingress.exe的记录文件。
密码估计在那个进程里。
2012-12-20 10:37
0
四叔
雪    币: 133
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
[QUOTE=HelloCrack;1127011]用进程浏览器搜shell.log找到一些线索:

C:\Documents and Settings\All Users\Application Data\shell.log
这个文件有好多记录
1218-07:40:41        [D] Shell.cpp:312(StartHook){ingre...[/QUOTE]

爱莫能助,看都能看出个名堂,清华北大那都浮云了!
2012-12-20 11:02
0
HelloCrack
雪    币: 215
活跃值: (90)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
8
我看到它目录下有个7z.exe的文件。
我用一个显示messagebox的小程序替换C:\Program Files\Sangfor\Ingress3.0.1\7z.exe文件,
当它生成documents.7z的时候,估计会用到它目录里的7z.exe程序,而他密码在命令行参数里,
到那时就知道它密码了。
2012-12-20 12:10
0
HelloCrack
雪    币: 215
活跃值: (90)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
9
哈哈,密码已经搞到就是:sinforb08
"C:\Program Files\Sangfor\Ingress3.0.1\7z.exe" a C:\WINDOWS\system32\config\igslog\IMM.log.ibf -aoa -psinforb08 -m0=LZMA -mx9 "C:\WINDOWS\system32\config\igslog\IMM.log"
尽管不是操作的documents.7z这个文件,但是我用这个密码一样能解压documents.7z!
按这样的操作后,程序会弹好几次消息框,最后程序发现不成功的话就会删掉目录里的所有程序,
再建立一个新的目录安装他自己的源程序,恢复功能。
2012-12-20 12:30
0
dotdraw
雪    币: 230
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
密码是“sinforb08”,深信服的后门吗
2012-12-25 11:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//