gef>disas stack0，咱们能够看见得到main函数的反汇编代码，可是有一点不爽的是一些库函数API称号没有显现出来，这儿供给两种处理思路：键盘记录有用载荷是一个AutoIT下载程序，它从hxxps://85.206.161[.]216:8080/HomePage.htm获取并履行其他PowerShell。 后续的PowerShell根据方针体系的架构，下载适宜的PowerSploit变种（MD5：c326f156657d1c41a9c387415bf779d4或0564706ec38d15e981f71eaf474d0ab8），并反射加载PUPYRAT（MD5：94cd86a0a4d747472c2b3f1bc3279d77或17587668AC577FCE0B278420B8EB72AC）。 该进犯者运用揭露可用的CVE-2019-0213缝隙提高权限，揭露可用的Windows SysInternals PROCDUMP转储LSASS进程，以及揭露供给的MIMIKATZ盗取其他凭证。 Managed Defense有助于受害者操控侵略。 翻开ngrok将http流量转发到3000端口。 15、abc123 (无变化)

1、ShadowHammer进犯事情，进犯者侵略了计算机厂商的更新服务器，依据网卡适配器的MAC地址来挑选进犯方针（详细方针用户仍未弄清）（2019年6月份），进犯者运用了一个歹意的更新组件；要了解有关AppLocker的更多信息，而且取得有关怎么创立并测验强壮的AppLocker战略的进一步辅导，请参阅Oddvar Moe的AppLocker事例研讨，以及Aaron Margosis的AaronLocker东西。