富贵与牛子哥自研后门的一次对抗经历

• 自研的后门
• 态势以及EDR无感
• VT、杀软全绿
• 命令执行不拦截

我打开进程具体信息他是这样的，我对比了一下微软自己的软件好像并没有什么两样，但是他唯一让我怀疑的是他执行了一下whoami。谁家好人执行whoami啊我屮艸芔茻~

五、Microsoft Corporation?

于是抱着怀疑的心态我继续往下走，找文件。找目录(这里我们借助下一个神器everything)直接起飞找文件比3秒真男人还快~。打开everything复制出文件名。

    从正常人的思维来看，第一个肯定是看签名我屮艸芔茻什么玩意？

这泥煤是微软的？还有理由怀疑这是后门吗？我屮艸芔茻

然后我们继续回文件目录。what？文件不存在文件被隐藏了(但是答应了牛子哥保密我们用另外一种方法找出来)

这时候打开我们的大保健，文件自然就出来了看看写入时间刚好也是今天。

    文件既然出来了这时候才开始真正的应急了。先删文件吧。

六、删不掉？

    不让删？先结束进程吧。因为在运行掏出我们的大保健ok吗？必须OK啊！

七、删不掉？

    进程已经结束~嘿嘿嘿，这时候该删文件了好像还是删不了

    还是有别的方法留个悬念(牛子哥不让说)

    文件确实删除了，但是正当我洋洋得意准备去炫耀的时候。突然一个calc又来了。我屮艸芔茻。这不是给我了当头一棒

    原来他实时监控我屮艸芔茻，这个鸟人。大部分只要有这个离不开计划任务所以回到计划任务

    又是微软，请问你感动吗？

    管他嘞删了再说

  删完了~泥煤的~