昨天客户在制作复工资料时中的毒。过智量

显示全部楼层 · 发表于 2020-2-19 17:01:12

你要提醒一下客户，注入explorer后读了很多东西，win10x64-1709虚拟机是不会炸explorer的，不太确定是否为窃密bot。。

两个驱动可能不是一伙的，在config里面的驱动（VMP）那个有pdb，但是没动作

显示全部楼层 · 发表于 2020-2-19 17:01:36

zay365 发表于 2020-2-19 16:16
楼主是不是说了从客户的电脑里提取的吗，他是开电脑店的

哦哦哦哦哦哦

忘了

显示全部楼层 · 发表于 2020-2-19 17:31:20

lifan88 发表于 2020-2-19 17:01
你要提醒一下客户，注入explorer后读了很多东西，win10x64-1709虚拟机是不会炸explorer的，不太确定是否为 ...

读不了，因为不兼容出错。

显示全部楼层 · 发表于 2020-2-19 17:35:09

yjwfdc 发表于 2020-2-19 17:31
读不了，因为不兼容出错。

我傻了

显示全部楼层 · 发表于 2020-2-19 17:48:32

lifan88 发表于 2020-2-19 16:55
config下的？难不成还和hive相关？？能否麻烦你帮忙问问客户那个原表格（如果不涉密的话）能否提供 ...

客户不会电脑，问也问不清楚的。

那天修的时候。
非常时期，客户进不了店，
她在外面车上等，我在店里修，
所以赶时间，没有再问源头了。

显示全部楼层 · 发表于 2020-2-19 18:02:20

lifan88 发表于 2020-2-19 17:01
哦哦哦哦哦哦忘了

这个是之前客户发给我的视频

[病毒样本] 昨天客户在制作复工资料时中的毒。过智量