再利用zipfldr.dll发动注册表CLSID履行之前解密的PowerShell指令：· 运用T *** SISrv.dll和TSVIPSrv.dll完成的后门1.在端口8085上衔接到C2的硬编码IP地址（例如104.237.233 [.] 38）并发送字符串“ip”。 然后它应该能收到“ip1 :: ip2 :: ip3”方式的IP列表。 (default 1)我没有在其间刺进一些标志，其实也可这么做。 有时候当源码十分混杂，则能够用 Jadx 的某些选项来复原出许多具有可读性的源码，详细咱们能够检查 –help选项阐明。 $ra=@$r["HTTP_ACCEPT_LANGUAGE"];

$~/Covenant/Covenant > dotnet run　　明显问题在void AA函数中，那终究void AA函数里边是什么内容呢?咱们接下来持续看。