JavaScript后门深层分析
354次
2016-01-12
中提到了利用rundll32.exe执行一段JavaScript代码即可反弹一个Http Shell,这里将之前看到的对其原理进行分析的文章翻译和大家分享。
作为DLL名称,返回”加载实际的DLL。。这个函数最终会接近。
。
)作为路径来解析。“前缀看起来毫无用处:RunHTMLApplication
忽略给定的参数,并且更倾向于从windows APIHKCRSOFTWAREClassesPROTOCOLSHandlerjavascript
):
0x06 结论
按照我们的理解,这个技术语序绕过一些信任内置的rundll32的行为的安全产品。
0x07 本文相关
- https://twitter.com/hFireF0X
- http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3377
- http://support.microsoft.com/kb/164787/en
- http://msdn.microsoft.com/enus/library/windows/desktop/aa365527%28v=vs.85%29.aspx
- https://thisiscybersec.files.wordpress.com/2014/08/capture-d_c3a9cran-2014-08-20-c3a0-16-16-36.png
- https://thisiscybersec.files.wordpress.com/2014/08/capture-d_c3a9cran-2014-08-20-c3a0-16-16-36.png