事情类型英航数据走漏事情查询 中心后门实现为一个动态链接库(DLL),包括一个名为“NSPStartup”的函数。
后门植入后,装置程序在WSCInstallNameSpace API函数的协助下将后门注册为winsock2的命名空间供给程序,并经过调用WSCEnableNSProvider运转。
从模块资源中解压开释 Shadowsocks 服务端“sss erver.exe ”和 RAS 衔接装备文件“ Rasphone.pbk ”到程序装置目录下,随后病毒模块修正体系防火墙装备,将模块自身、署理服务端以及署理端口参加放行列表。
最终发动其署理服务端“sss erver.exe ”,该程序根据开源项目 go-shadowsocks2 改造编译,装备选项硬编码在命令行参数中,加密协议为“ AES-256-CFB ”。
怎么防止受骗上当
下图便是在运转 "echo hai > nul"指令之后,对WinDbg中的这种结构的探究。