免责声明
❝
由于传播、利用本公众号"隼目安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"隼目安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢!
Tips:本文为投稿文,不代表本公众号任何想法
我本人挺喜欢转子女神这款工具的,很感谢雪山师傅的分享,也非常支持雪山师傅
今天看到群友转发的图,在github上对于转子女神的争议
于是我认为有必要帮雪山师傅澄清一下,由于雪山师傅不开源工具,因此本文章不会展示任何工具相关的核心代码
将最新版工具v1.1.6丢到微步,首先对行为进行逐步解析
在_MEIXXXXX临时目录释放pyd文件是PyInstaller打包器的典型特征,因此这是正常行为
释放shellcode
base_library.zip同样也是PyInstaller打包器的特征,他包含了python的标准库
我们反编译程序查看base_library.zip内容
里面存放的均为标准库
接下来看到高危行为,释放test.exe文件
这个也很好解释,接下来我拿低版本的工具(展示更新功能)动态调试演示一遍
首先我运行该工具
此时我选择更新,此时程序没有异常行为,直至更新完成程序退出
释放出test.exe,查看更新后点我.bat
首先删除旧程序,将test、重命名后删除自身,可见这是一个非常普通的更新程序
最后我只想说,雪山师傅已经无偿分享工具了,不开源肯定也有自己的理由,在这里乱造谣,强迫开源纯属蹬鼻子上脸行为
如果你认为存在投毒,那么请你报警,没必要造谣影响工具声誉
顺便给大家介绍一下转子女神这款工具
这是一款用于快速打点JS文件及路径扫描的单兵工具,集成了许多工具的优点
项目地址:https://github.com/Snow-Mountain-Passengers/Rotor-Goddess
雪山师傅对这款工具也是一直在持续更新,不断优化完善
往期推荐
Dude Suite Web Security Tools 渗透测试工具—专属认证邀请码发放!
【相关分享】记一次溯源从远控exe到getshell
【HVV吃瓜】苕皮哥2.0全过程与处理结果
关于网传“宝塔Linux面板存在任意命令执行”的说明
【奇闻趣事】论网传小红书开发者模式为P0级事故
文稿 | 雪山乘客
制作 | x8i
审发 | 隼目安全
原文始发于微信公众号(隼目安全):关于信息收集工具转子女神的逆向
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论