查看: 3964|回复: 43
收起左侧

[讨论] 真心求教一个问题!

[复制链接]
kfne12
头像被屏蔽
发表于 2018-3-24 21:53:16 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2018-4-11 12:36 编辑

3月26号更新:初步研究结果见11楼,12楼,30楼,31楼。另外做了一个压缩包展示一下11楼12楼30楼的研究成果。
3月26号晚更新:手痒测试360,此方法确实可以绕过360AV软件,注入一个dll到explorer,从而打造一个不易察觉的隐蔽后门。具体怎么做不细说,爬完楼自然就知道了。。



以下是3月24日旧帖:
-----------------------------------------------------------


多年前用procmon时无意发现的一个无聊的问题,今天不知道怎么突然想起。

这问题跟注册表有关系:
打开注册表编辑器,定位到
HKEY_CLASSES_ROOT\exefile\shell\open\command
看到右边不是有两个值吗
一个默认值
一个IsolatedCommand
我们在这两个的旁边,也就是HKEY_CLASSES_ROOT\exefile\shell\open\command的下方再新建一个值,随便什么类型,命名为command,内容可以不填。
说起来这么麻烦,其实直接导入这个reg也行。
  1. Windows Registry Editor Version 5.00

  2. [HKEY_CLASSES_ROOT\exefile\shell\open\command]
  3. "command"=""
复制代码

注意,不是修改了病毒常改的default值,而是新建了一个叫command的值。

导入完了之后,我们就会发现,所有的exe都打不开了。打开时提示参数错误。导入这个值时,杀毒什么的也不提示。
很神奇吧。这个xxx\shell\xxx\command下的command值google上查过了,查不到。MS也没有对这个值的介绍。
我在想,这个肯定跟什么windows隐藏的功能特性有关
我想知道的就是这个功能特性到底是什么呢?这个command值的用法到底是什么?解决这个估计要逆向一下windows操作系统的有关文件了,可惜我不会逆向,所以想向这里的朋友求教。。。
本人研究这个不为了干坏事,只是为了满足好奇心。。。俺捣鼓这捣鼓那,其实一个木马都没写过。。。。

也不知道发在kafan的国内区和是不合适,毕竟这个论坛也没有逆向区啊。国内区貌似人气还可以,都是对windows安全技术有研究的同学,所以关于这个问题还是发在这里,希望懂的人不吝赐教












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2018-3-24 22:00:16 | 显示全部楼层
按照惯例,应该艾特数字官人
kfne12
头像被屏蔽
 楼主| 发表于 2018-3-24 22:01:35 | 显示全部楼层
pal家族 发表于 2018-3-24 22:00
按照惯例,应该艾特数字官人

这问题跟数字还真是一点关系都没有了。
随便注册
发表于 2018-3-24 22:06:20 | 显示全部楼层
本帖最后由 随便注册 于 2018-3-24 22:43 编辑

编辑掉,还真不是老问题
kfne12
头像被屏蔽
 楼主| 发表于 2018-3-24 22:15:42 | 显示全部楼层
随便注册 发表于 2018-3-24 22:06
就是关联的打开方式,这是exe的
还有对应右键菜单编辑的edit,如txt
[HKEY_CLASSES_ROOT\txtfile\shell\e ...

你没看懂,是在command键下再新建一个command值。不是病毒经常改的那个文件关联。
感觉可能是MS预留的一项隐藏功能。。
kfne12
头像被屏蔽
 楼主| 发表于 2018-3-24 22:19:47 | 显示全部楼层
随便注册 发表于 2018-3-24 22:06
就是关联的打开方式,这是exe的
还有对应右键菜单编辑的edit,如txt
[HKEY_CLASSES_ROOT\txtfile\shell\e ...

另外。修改exefile关联不影响.reg的导入的吧。你记错了?
随便注册
发表于 2018-3-24 22:23:11 | 显示全部楼层
本帖最后由 随便注册 于 2018-3-24 22:26 编辑
kfne12 发表于 2018-3-24 22:19
另外。修改exefile关联不影响.reg的导入的吧。你记错了?


新建就不是改吗?也许微软处理的不好?你建个其它名字的试试,反正我不敢试
导入reg也是调用regedit.exe,导不进去,至少XP如此。
kfne12
头像被屏蔽
 楼主| 发表于 2018-3-24 22:29:35 | 显示全部楼层
随便注册 发表于 2018-3-24 22:23
新建就不是改吗?也许微软处理的不好?
导入reg也是调用regedit.exe,导不进去,至少XP如此。

我这里win7,把exe关联删了都不影响reg导入。
随便注册
发表于 2018-3-24 22:40:04 | 显示全部楼层
kfne12 发表于 2018-3-24 22:29
我这里win7,把exe关联删了都不影响reg导入。

虚拟机试了试,直接运行exe如画图,提示参数错误,但通过调用就没事,比如图片——编辑,你发现的还真是不一样!
kfne12
头像被屏蔽
 楼主| 发表于 2018-3-25 11:57:24 | 显示全部楼层
本帖最后由 kfne12 于 2018-3-25 12:10 编辑

唉。这种问题发kafan论坛没用,还是得自己解决啊。

刚才捣鼓了一下,搞明白了。也没去逆向。直接用procmon跟了下,再动手试了试,就明白了:这个隐藏项目不是什么特别高级的功能特性,是打开控制面板项目用的。。不过还是有点意思的。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 15:57 , Processed in 0.119098 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表