[讨论]电脑莫名多了个FNPLicensingService.exe，怎么追溯比较好？

发表于: 2019-4-12 21:33 21529

[讨论]电脑莫名多了个FNPLicensingService.exe，怎么追溯比较好？

petersonhz 活跃值

活跃值

2019-4-12 21:33

21529

注意这个进程，是因为防火墙提示FNPLicensingService.exe尝试连接局域网另一主机。
从文件时间戳看，这个文件可能和xshell有关，如何确认这个文件是否为木马伪装？
xshell和photoshop相关exe在一起，很可疑。
如何追溯这个文件的真正来源，以及它要做什么呢？

同个目录竟然有个和xshell相关配置

图片描述

搜索发现FNPLicensingService是Photoshop相关进程，可是为啥和xshell配置在一个目录，而且创建时间似乎是同时的。

图片描述

后台有对应服务

图片描述

图片描述

图片描述

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

分享

最新回复 (6)
gaoan 雪币： 3797 活跃值： (769) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 0 关注私信	gaoan 2 楼这个好像是Flexnet的组件 2019-4-13 12:04 0
xie风腾雪币： 12354 活跃值： (5123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 3 楼偶电脑里也有,感觉不是毒 2019-4-13 13:30 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 4 楼 xie风腾偶电脑里也有,感觉不是毒这个目录里也有xshell配置么？ 2019-4-13 22:53 0
MsScotch 雪币： 3199 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 5 楼 Flexnet的授权组件，XShell使用它的授权模式，于是就被带了这个进程。类似的还有ABBYY FineReader之流最后于 2019-4-15 09:43 被MsScotch编辑，原因： 2019-4-15 09:42 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 6 楼 MsScotch Flexnet的授权组件，XShell使用它的授权模式，于是就被带了这个进程。类似的还有ABBYY FineReader之流搜了下，这个组件好像会篡改MBR分区，为啥要改这里的数据呢，难道想毁掉系统么最后于 2019-4-15 11:42 被petersonhz编辑，原因： 2019-4-15 11:41 0
MsScotch 雪币： 3199 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 7 楼 petersonhz MsScotch Flexnet的授权组件，XShell使用它的授权模式，于是就被带了这个进程。类似的还有ABBYY FineReader之流搜了下， ... 不确定的事情，避免使用“好像”而带来的困惑。 2019-4-17 10:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

petersonhz

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//