测试环境
测试环境:Vmware虚拟机
测试系统:Windows 10 Ltsc 2016 X64
劫持分析
1.使用Win10官方版镜像进行纯净安装,微软官方安装最新版Edge 91,系统补丁更新到最新20210605.
2.安装火绒安全并更新到最新并进行全盘查杀,打开Edge主页正常,再次确认环境安全准备封装.
3.官方下载scpt3.0.0.122版本并更检测更新,校验Scpt.exe程序哈希值.
MD5:909EA880F360DB0557A85AD13E818922
SHA256:7ABCAA827FAFE5185AACB4805AE92A5A61B0DF25B0D6C684E7873953986150D8
4.检查封装参数,将可能涉及自动安装软件插件的选项去除并开始封装系统
5.封装系统后,提示重启或关机进行备份镜像,基于测试为主因此不进行备份,而是直接重启系统执行系统安装部署,同时避免WinPE不纯净等因素.
6.进入安装好的系统之后,ScTasks.exe随机在Temp目录下生成随机可执行文件 本次是AwJRoo.exe.
7.继续跟踪AwJRoo.exe文件行为,发现该程序枚举已安装的浏览器并进行劫持修改主页.
8.恶意修改以后,ScTasks.exe尝试删除随机生成的恶意文件AwJRoo.exe,采取拦截并提取样本.
9.此时打开Edge浏览器发现主页已被偷偷劫持,但似乎该域名已经无法访问.
10.将随机产生的病毒样本AwJRoo.exe发送至多家云分析平台,结果大跌眼镜,该恶意程序可能有反虚拟机技术,多家云检测平台均无法识别,显示为安全.
11.至此整个分析过程临近尾声,总裁封装工具SC生成的随机恶意文件由于在系统首次启动后才会运行,而且具有自我销毁行为,手段极其隐蔽.火绒安全卫士、360安全卫士均无法识别.不幸中万幸的是微软自带的防毒软件Windows Defender可以识别.但这里有个问题:Windows Defender识别发现以后,该恶意软件已经成功运行并自我销毁了,因此在Windows Defender防护日志中只能查看到记录是删除而不是隔离,因此无法通过还原来提取恶意软件.
最后
所有那些所谓的无广告,无劫持都是骗人的,实际上在总裁封装工具的论坛已经有人反馈这个问题,但是官方却会说是的PE环境不干净导致的,通过本次测试算是石锤了.毕竟是免费的工具嘛,恶意程序危害相对也比较低.
原贴地址
https://www.52pojie.cn/thread-1455126-1-1.html