调试

脚本

去混淆

PowerShell

《光通天下 - 针对越南APT攻击样本深度分析》的“TKCT quy I nam 2019.doc.lnk”：
去掉“iex”这几个字符，powerhell运行指令格式：文件名（原） >> New.txt（新）
如果报错PowerShell因为在此系统中禁止执行脚本，解决方法：set-ExecutionPolicy RemoteSigned

环境

Windows

修改HostName

Win7安全限制较高，为了方便查看信息要修改主机名，而通过属性修改不能带，但可通过注册表方式修改。将以下代码保存为.reg文件运行即可：

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]
"NV Hostname"="HostName"
"Hostname"="HostName"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName]
@="mnmsrvc"
"ComputerName"="HostName"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName]
"ComputerName"="HostName"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName]
"ActvieComputeName"="HostName"
"ComputeName"="HostName"；
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
"NV Hostname"="HostName"
"Hostname"="HostName"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\ComputerName\ComputerName]"ComputeName"="HostName"；[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters]
"NV Hostname"="HostName"
"Hostname"="HostName"[HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General]
"ComputerName"="HostName"
[HKEY_CURRENT_USER\Volatile Environment]
"LOGONSERVER"="\\\\HostName"
"USERDOMAIN"="HostName"