某恒信息pdf后门事件分析

admin 2020年8月12日16:25:35评论617 views字数 490阅读1分38秒阅读模式

起因

群里都在流传pdf存在后门的截图某恒信息pdf后门事件分析

分析

下面我们来分析一下上面的命令

rundll32.exe Shell32.dll,OpenAs_RunDLL

rundll32

介绍一下Rundll32.exe这个文件,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll64.exe文件,他的意思是"执行64位的DLL文件", 其命令行下的使用方法为:Rundll32.exe DLLname,Functionname Arguments,DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;Arguments为引出函数的具体参数。

OpenAs_RunDLL

这是一个未公开的dll。其作用为打开文件打开方式的对话框。经常配置windows操作系统的同学应该对这个很熟悉

某恒信息pdf后门事件分析

某恒信息pdf后门事件分析

某恒信息pdf后门事件分析

本地复现

某恒信息pdf后门事件分析

不要听风就是雨,看见Rundll就兴奋。pdf没问题,大家随便看

参考链接

后台回复pdf获取下载

https://superuser.com/questions/1372139/executable-of-open-with-dialog-on-windows

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月12日16:25:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某恒信息pdf后门事件分析http://cn-sec.com/archives/85261.html

发表评论

匿名网友 填写信息