-
-
[原创]Fake Chrome 后门
-
发表于: 2025-11-14 21:39
-
病毒类型:后门
文件类型:32位
MD5:3E512BF9B63573702982FE4E013D55E8
SHA1:8B5B4BC62B5C3CF14C3C85D692DFAE383F514F64
32位windows可执行程序,为Inno安装包
程序释放文件:白加黑文件,并执行hallclient.exe程序,此程序会加载黑文件hallclientBase.dll。
hallclientBase.dll是一个ShellCodeLoader,是一个64位没有加壳的dll文件
程序通过动态解密函数来申请内存解密并拷贝shellcode,解密出来是一个64位的PE dll文件
提取出来的dll会检测是否是regsvr32.exe进程启动此dll,并且会绕过defender
会续设置计划任务Windef_Auto_Renew_Patch_Task,并进行APC注入
设置计划任务函数
后续会加载versions.dat到内存中并且调用解密函数进行解密
解密后申请内存进行执行
新解密的dll是一个C2的上线模块
解密IP地址
进行IP地址连接
解密登录模块
后申请可执行空间,并执行注入操作
·
查找tracerpt.exe进程并注入执行登录模块
登录模块具备注入操作,提升权限等操作
注入svchost.exe程序
提升权限
剪切板记录
检测各种监控软件等
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
最后于 2025-11-15 11:32
被wx_L_332编辑
,原因:
