记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

某恒信息pdf后门事件分析

2020-08-13 10:26

起因

群里都在流传pdf存在后门的截图

分析

下面我们来分析一下上面的命令

rundll32.exe Shell32.dll,OpenAs_RunDLL

rundll32

介绍一下Rundll32.exe这个文件,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll64.exe文件,他的意思是"执行64位的DLL文件", 其命令行下的使用方法为:Rundll32.exe DLLname,Functionname Arguments,DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;Arguments为引出函数的具体参数。

OpenAs_RunDLL

这是一个未公开的dll。其作用为打开文件打开方式的对话框。经常配置windows操作系统的同学应该对这个很熟悉

本地复现

不要听风就是雨,看见Rundll就兴奋。pdf没问题,大家随便看

参考链接

后台回复pdf获取下载

https://superuser.com/questions/1372139/executable-of-open-with-dialog-on-windows




知识来源: https://mp.weixin.qq.com/s/yNNqLAodTJGP9zO8zvjmGQ

阅读:30993 | 评论:0 | 标签:后门

想收藏或者和大家分享这篇好文章→复制链接地址

“某恒信息pdf后门事件分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云