某恒信息pdf后门事件分析

  • A+
所属分类:安全文章

起因

群里都在流传pdf存在后门的截图某恒信息pdf后门事件分析

分析

下面我们来分析一下上面的命令

rundll32.exe Shell32.dll,OpenAs_RunDLL

rundll32

介绍一下Rundll32.exe这个文件,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll64.exe文件,他的意思是"执行64位的DLL文件", 其命令行下的使用方法为:Rundll32.exe DLLname,Functionname Arguments,DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;Arguments为引出函数的具体参数。

OpenAs_RunDLL

这是一个未公开的dll。其作用为打开文件打开方式的对话框。经常配置windows操作系统的同学应该对这个很熟悉

某恒信息pdf后门事件分析

某恒信息pdf后门事件分析

某恒信息pdf后门事件分析

本地复现

某恒信息pdf后门事件分析

不要听风就是雨,看见Rundll就兴奋。pdf没问题,大家随便看

参考链接

后台回复pdf获取下载

https://superuser.com/questions/1372139/executable-of-open-with-dialog-on-windows

 

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: