指令框履行脚本文件，例如$$>1.3.2 体系结构Microsoft Word 2007 Service Pack 3 看行为中的字符串的确是Imminent rat，该样本为商业远控木马,官方的售卖地址：imminentmethods.net，支撑的指令功用如下：研究人员剖析发现进犯者经过发布指令到有缝隙的机器来下载和装置后门和挖矿机。 装置的后门为Shellbot，能够扫描敞开端口、下载文件、履行UDP洪泛进犯，并且能够长途履行shell指令。 用2个payload来感染设备盈余可能性更高，因而歹意进犯者能够用shellbot和挖矿机来进行获利。 受影响到区域包含日本、巴西、我国、土耳其等。 PC1播送ARP恳求，问询IP地址为192.168.3.1的主机的MAC地址。 PC3收到播送帧，宣布ARP应对，告知PC1自己是192.168.3.1，MAC地址是cc:cc:cc:cc:cc:cc。 （这之后，PC1发给PC2的一切流量都会发给PC3）

* Connected to bing.com (13.107.21.200) port 443 (#0) 首要咱们需求了解一代壳的原理，一代壳是对dex文件进行加密，反编译只能看见壳程序的代码，只能经过IDA动态调试或许运用Xposed等HOOK结构，hook相关API在App运行时dump出解密后的dex文件，这两种办法都是经过内存dump出解密后的dex文件来进行脱壳的。