精易论坛

标题: 刚刚逮到一个在加固模块里面放远控马的，遇到的话注意点 [打印本页]

作者: 凌哥 时间: 2021-5-7 15:19
标题: 刚刚逮到一个在加固模块里面放远控马的，遇到的话注意点
本帖最后由凌哥于 2021-5-7 15:24 编辑

[attach]1098416[/attach]
[attach]1098417[/attach]
[attach]1098418[/attach]

有个人找到我帮忙分析加密模块后...就逮到一个藏在模块里面的远控马

小马是内存运行的，还判断了一下父进程名，直接丢exe到沙箱跑不出东西

远程端口 2020 IP有两个，不知道是不是第一个人绑马给第二个人后，第二个人又绑了一层远控马继续发布

相关信息是：ref.tbfull.com 42.157.128.54(高防服务器) 39.103.200.111(情报上显示阿里云机器)

还有远程代码注入的行为...花里胡哨的，模块套模块的模块...能套了两个不同版本的精易模块就离谱

感觉我这样喜欢折腾，太特么容易得罪人了，估计以后会被逮到就喷，喷了就跑

作者: a657938016 时间: 2021-5-7 15:29
支持大佬

作者: akidc 时间: 2021-5-7 15:32
支持支持

作者: 凌哥 时间: 2021-5-7 15:34
顺便说一下，这个是直接违反刑法的行为，我发现这个人把模块提供给了800多个人，而且模块是收费50元的，也就是说数量上已经达到了法律上标注的“非常严重情节” 抓到的话可以判3年以上7年以下，大家且行且珍惜

作者: kmskik 时间: 2021-5-7 15:36
支持大佬

作者: 357300053 时间: 2021-5-7 15:37
支持支持

作者: 供供啊 时间: 2021-5-7 15:46
支持~必须支持暴光这些家伙。

作者: 兔子君 时间: 2021-5-7 16:08
不作死就不会死，昨天才收拾一个挂马的模块特征，这又来一个，可以的，
可能都觉得里面的饭菜香吧

作者: 凌哥 时间: 2021-5-7 16:13

兔子君发表于 2021-5-7 16:08
不作死就不会死，昨天才收拾一个挂马的模块特征，这又来一个，可以的，
可能都觉得里面的饭菜香吧 ...

债多了不愁，虱子多了不痒；我已经无所谓了，碰见这种我就喜欢搞了发一下，反正喷我的人不差再多一点

作者: 指尖流淌 时间: 2021-5-7 17:22

是什么模块?

作者: 开始接单 时间: 2021-5-7 18:22
执行流程图是自己做的还是软件，如果是软件推荐一下，感觉好厉害的

作者: 老二天天干活 时间: 2021-5-7 18:30
就是此人 QQ协yi(UID: 601911) 此人曾被人多次举报禁言处罚，后又被管理解禁建议管理永久封禁，为净网点赞！！！

作者: 菊部变暖 时间: 2021-5-7 19:19
带守护的模块从来不用。

作者: 爆炸Bomb 时间: 2021-5-7 21:42
牛了，搞这些东西没意思

作者: 11665583 时间: 2021-5-7 21:46
发个样品看看...

作者: 26217697 时间: 2021-5-7 23:12

路西菲尔2013 发表于 2021-5-7 18:22
执行流程图是自己做的还是软件，如果是软件推荐一下，感觉好厉害的

好像是亚信的edr

作者: 凌哥 时间: 2021-5-8 05:07
[attach]1098571[/attach]
追加一个域名解析记录，qqxieyi.cn 指向远控木马的IP

作者: 信易达 时间: 2021-5-8 17:33
@mier001 微步云，地址是：https://s.threatbook.cn/

作者: 316940981 时间: 2021-5-9 11:23
有些人是没有吃过亏，吃过亏才知道什么叫做后悔。还敢喷。

作者: qq2518 时间: 2021-5-21 09:09
精彩啊。大佬加油，干死挂马远控狗。

作者: lvchalove 时间: 2021-6-20 02:33
这个现实流程的是什么软件呀

作者: aa553660012 时间: 2021-6-22 04:46
他挂马就算了，还格式化电脑，源码全部修改。

作者: xiaoshe 时间: 2021-8-1 19:15

抓住打死！

作者: Xiaochuzhang 时间: 2021-10-7 19:42
提示: 作者被禁止或删除内容自动屏蔽

作者: 1182410163 时间: 2021-10-7 20:12
什么模块又没说

作者: 1106080 时间: 2021-10-21 14:23
加固模块咋得到源码的。。。

作者: fyh505099 时间: 2021-10-28 19:13
凌哥大佬的做法支持支持! 解救了一批小白

作者: yq1431 时间: 2021-10-28 19:17
精彩啊。大佬加油，干死挂马远控狗

作者: kanhaiyouyue 时间: 2021-11-9 14:53
凌哥你这是用的什么软件，可以检测软件行为，感觉很牛逼啊，能说下软件名称吗

作者: 凌哥 时间: 2021-11-10 09:08

kanhaiyouyue 发表于 2021-11-9 14:53
凌哥你这是用的什么软件，可以检测软件行为，感觉很牛逼啊，能说下软件名称吗 ...

微步云沙箱

作者: huyajieai 时间: 2021-12-18 14:52

作者: 512weq 时间: 2022-1-25 16:51

作者: c6159432 时间: 2022-2-24 09:46
精易模块还是去论坛下吧，比较安全

作者: elephant100 时间: 2022-3-6 16:08
龙虎斗阿这是

作者: 2837376169 时间: 2022-3-15 13:55
还真有想踩缝纫机的啊？？？

作者: 3218181 时间: 2022-3-21 16:38
支持支持

作者: 3218181 时间: 2022-3-21 16:38
是什么模块?

作者: 安安全全回家 时间: 2022-3-24 15:39
支持楼主举报！

作者: 大唐不良帅 时间: 2022-4-29 14:49
支持开源~！感谢分享

作者: xcchuan 时间: 2022-5-7 18:46
提示: 作者被禁止或删除内容自动屏蔽

作者: Mendax 时间: 2022-5-11 21:39
支持，顶一个

作者: 苗苗520 时间: 2022-5-26 00:31
看看看看啊啊啊啊啊啊

作者: 天宸 时间: 2022-6-5 21:21
emmmmmmmmmmmm

作者: luming789 时间: 2022-6-11 11:03
我TM一新手居然看完了- -

作者: 愤怒的Rabbit 时间: 2022-6-18 19:11
你是不是那个写过飞车的凌哥{:3_59:}

作者: hu470821831 时间: 2022-6-19 11:42
支持支持厉害了大佬

作者: hubbybear520 时间: 2022-6-22 23:31
我新人前两天下了不少模块了不知道有没有中招了中招了也不知道呀

作者: keaiqian 时间: 2022-11-2 21:59
{:3_50:}6666666666666

作者: king1999 时间: 2022-11-4 10:53
厉害了,大佬,震惊

作者: jiudehaoma 时间: 2022-11-13 18:50
怎么这么多人说你是骗子？

作者: h4ck3r 时间: 2022-11-13 20:52
支持大佬飞踹马仔

作者: xiaoheshang 时间: 2022-12-27 12:49
这小子专业放马多年咯

作者: 壹啵 时间: 2022-12-28 11:22

作者: hj97641 时间: 2023-1-12 11:12
很好很强悍，坚持下去哦~

作者: youxigw 时间: 2023-3-18 09:28
支持大佬

作者: hejiang 时间: 2023-5-11 22:19
厉害了呀，我去，这是怎么挂马的呀

作者: Mouth 时间: 2023-5-12 13:42
感谢分享

作者: 小窗润轻风 时间: 2023-8-23 20:20
应该送进去的不能手软。

作者: DMS千 时间: 2023-8-28 16:13
66666666666666666666666666666

作者: 沐白 时间: 2024-1-26 19:56
感谢分享!

作者: xf221 时间: 2024-2-12 05:45
666666666666666666666666666666666666666

作者: 飞翔的哈哈1 时间: 2024-8-22 12:03
真的太好用了

作者: xf221 时间: 2024-10-12 07:48
666666666666666666666666666666666666666

作者: sqg88 时间: 2024-10-12 15:54
刚刚逮到一个在加固模块里面放远控马的

作者: 真IKUN 时间: 2024-12-14 01:50
支持~！感谢分享

作者: 涤尘 时间: 2025-4-5 21:26
感谢分享

欢迎光临精易论坛 (https://125.confly.eu.org/)