rundll32exe修复文章列表:

• 1、Rundll32命令安装和卸载Windows程序转贴17
• 2、暗象组织：潜藏十年的网络攻击
• 3、完全模拟开始中的运行……功能
• 4、为WinPE添加右键菜单
• 5、重创五角大楼的威胁卷土重来：病毒新变种出Part 1

Rundll32命令安装和卸载Windows程序转贴17

Windows系统中安装和卸载程序是件非常容易的事情，一般用户通过安装和卸载程序向导就能很轻松地完成。但安装和卸载Windows程序还有些鲜为人知的小技巧，使用Rundll32命令安装和卸载Windows程序就是其中之一，可能你从来还没接触过，下面我们就一起领略它的神奇功能吧！
　　提示：Rundll32.exe是 Windows系统提供的一个命令，它用来调用32位的DLL函数(16位的DLL文件用Rundll.exe来调用)。DLL文件是Windows的基础，所有的API函数都是在dll中实现的，它不能独立运行，一般由进程加载并调用，运行DLL文件最简单的方法是利用Rundll32.exe，它的命令格式是“Rundll32.exe 动态链接库名 函数名 参数名”。
　　1.卸载微软Java虚拟机
　　在Windows系统中，要想Ie浏览器执行包含Java小程序的网页，必须安装微软Java虚拟机(MSJVM)，Windows 98/2000已经捆绑了MSJVM，Windows XP/2003中虽然已经剥离了微软Java虚拟机，但还是可以手工安装。不过，有个现实我们不得不面对：由于微软和SUN公司的明争暗斗，微软已经停止对MSJVM的开发，因此很多用户改用SUN公司提供的Java虚拟机。但微软没有提供MSJVM的卸载工具，使用Rundll32命令，我们可以轻松卸载MSJVM。
　　单击“开始→运行”命令，在“运行”对话框中输入“RunDll32 advpack.dll,LaunchInfSection java.inf,UnInstall”，回车后系统会打开“Microsoft VM uninstall”对话框，单击“是(Y)”按钮后，系统就会开始卸载微软Java虚拟机，卸载完成后需要重新启动系统。
　　接下来删除“%systemroot%”(即Windows的安装目录，Windows 2000系统为 Winnt目录，Windows XP/2003为Windows目录)下的Java文件夹；“%systemroot%inf”下的java.pnf文件，以及“%systemroot%system32”下的jvIEw.exe文件和wjview.exe文件。最后打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINESOFTWAREMicrosoftJavaVM]分支和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptionsJAVA_VM]分支，删除这两个分支下的所有子键。
　　提示：以上方法不适用Windows 98系统。
　　2.重新安装Windows XP自带的IE6.0
　　Windows系统的IE浏览器漏洞很多，最容易出现问题。有时无法解决，就只能重新安装了。使用Rundll32命令可以很轻松地完成重新安装工作。我们以重新安装Windows XP中的IE6.0为例：
　　首先将Windows XP光盘插入光驱，然后单击“开始→运行”命令，在“运行”对话框中输入“Rundll32 setupapi,InstallHinfSection DefaultInstall 132 C:windowsinfie.inf”命令，回车后系统会打开安装进程对话框，开始重新安装IE6.0。
　　提示：如果你的Windows XP系统不是安装在C盘，请将 “C＼Windows＼Inf＼Ie.inf” 修改为“%systemroot%＼inf＼ie.inf”。
　　3.卸载Windows Messenger
　　卸载Windows Messenger的方法很多，最常用的就是修改“Sysoc.inf”文件，但此方法比较复杂，使用Rundll32命令能很轻松完成卸载：
　　首先要确保已经关闭了Outlook和IE等Windows自带的组件，然后单击“开始→运行”，在“运行”对话框中输入“RunDll32 advpack.dll,LaunchINFSection %windir%infmsmsgs.inf,BLC.Remove”命令，回车后系统会打开一个卸载对话框，单击“是(Y)”按钮后，系统就开始卸载Windows Messenger 程序。
　　以上只是简单介绍如何使用Rundll32命令卸载和安装Windows程序的几个实例，还有很多Windows程序的安装和卸载可以使用此方法，就不再详细介绍了，请大家慢慢体会。

暗象组织：潜藏十年的网络攻击

1.概述

“暗象”组织（DarkElephant Group）是一个疑似来自印度的APT攻击组织，其主要针对印度境内的社会活动人士、社会团体和在野政党等，同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。“暗象”组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱，向对方发送极具迷惑性的鱼叉邮件，诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。至少自2012年以来，该组织针对印度境内的目标，以及包括中国在内的印度周边的目标，发动了长达十年的网络攻击活动。因为该黑客组织在构陷其境内目标时手段十分暗黑（Bhima Koregaon案件中诬陷社会活动人士的执行者），以及结合其组织层面的面貌暗藏十年有逾而鲜有曝光的情况，安天CERT将该组织命名为“暗象”。本文参考了国际其他安全团队的研究成果[1][2]，并补充“暗象”组织针对我国重要单位的网络攻击活动，最后通过溯源分析指出该组织背后的运营人员可能位于东5.5时区（印度国家标准时间）。

2.攻击组织分析

“暗象”组织的整体特点可总结如下：

表2-1 “暗象”组织特点总结

在观察到的大多攻击案例中，攻击者都喜好使用谷歌和雅虎邮箱伪装成收信人的好友或社会知名人士、知名机构，诱导内容紧随时事热点或与对方的工作方向密切相关，攻击者特别对于印度本土活动的社会活动家、社会团体以及印共等党派的活跃人士表现出强烈而长久的渗透入侵、信息获取兴趣，对于特别重要的个人目标能实施长达多年跨越多种系统平台的监控活动，而对于印度境外的别国军事政治目标，攻击者主要是以窃密和潜伏为主要目的。

图 2‑1样本文件谈及印度境内相关组织制作定时炸药

经过关联并结合已公开的数据，我们统计出“暗象”组织典型的攻击样本如下：

表2-2 “暗象”组织典型样本

在以上样本中，攻击者采用过不同的C2运营技巧。最早在2012年时，“暗象”组织的击键记录器会将窃密数据发往硬编码的邮箱账号。在之后采用各种商业木马窃密时，先是注册免费的动态域名如：*.ddns.net和*.zapto.org等，到2020年以后开始自行注册命名上具有迷惑性的C2域名。

除了在网络基础设施的搭建运营上表现出一定的低廉性，在所有观察到的攻击样例里，也没有发现任何攻击者自身设计研发的窃密程序，大多是直接使用成熟的商用远控工具如NetWire、DarkComet、ParallaxRAT等，猜测此能力状况主要是适应其主要业务：应对集中在印度境内的处境窘迫、缺乏网络安全防范意识和手段的社会活动人士，事实上，当攻击者尝试以此手段攻击我国境内目标时可能就很容易被察觉和阻断。

3.针对我国的窃密事件

3.1 攻击流程分析

2020年10月13日，国内某重要单位信箱收到一份可疑的电子邮件，发件人使用Gmail邮箱且不在该单位的通讯录内，邮件主题为“关于丢失带有敏感文件的外交包的信”，并在正文中提供了一条可供下载可疑文件的网盘链接。

该链接为国外某网盘的分享链接，点击可下载得到一份ZIP压缩包，名为“Letter regarding loss of Diplomatic Bag with Sensitive Documents.zip”，包内存有一份包含恶意代码的自解压诱饵“Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe”：

图 3‑1 ZIP压缩包的内容

表 3‑1自解压诱饵

该自解压诱饵同时被多个数字证书签名，文件内容包含：4个木马程序（Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe），加载器Nevaeh.exe及其配置文件Nevaeh.cfg，功能脚本Meredith.vbs：

图 3‑2 自解压诱饵的内容

以及1个运行后展示给受害者的掩饰文档：DiplomaticBag.pdf

图 3‑3 掩饰文档的内容

当自解压诱饵被执行后，会先运行加载器Nevaeh.exe，加载器调用其配置文件Nevaeh.cfg后运行功能脚本Meredith.vbs，Meredith.vbs负责运行4个木马程序（Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe），4个木马程序会解密远控木马的载荷，最后将载荷注入系统的白进程的内存中运行。梳理整体的流程如下图：

图 3‑4 整体攻击流程图

3.2 加载器分析

加载器Nevaeh.exe实际为知名的自动运行工具AdvanceRun，攻击者此处通过配置文件Nevaeh.cfg传输参数，实现在系统的临时目录中静默执行功能脚本Meredith.vbs：

图 3‑5 调用配置文件后的加载器参数

3.3 功能脚本分析

Meredith.vbs脚本的代码夹杂有大量注释，梳理出的主要功能有如下：

a）展示掩饰文档DiplomaticBag.pdf，迷惑受害者：

图 3‑6 打开诱饵文件

b）强制关闭系统的SmartScreen安全功能：

图 3‑7 关闭SmartScreen功能

c）实现持久化，将木马程序Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe都添加到计划任务中：

图 3‑8 添加任务计划

3.4 木马程序分析

四个木马程序（Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe）都会随计划任务而定时启动，启动后运行各自对应的四个系统白程序，同时在内存中解密出同一shellcode， shellcode负责将自身包含的一段PE数据（ParallaxRAT远控木马）注入对应的白进程中。其中，Beltran.exe负责操作rundll32.exe进程，Pollard.exe操作svchost.exe进程，Sexton.exe操作dllhost.exe进程， Wilcox.exe操作notepad.exe进程。

图 3‑9 解密出的shellcode数据

图 3‑10待注入notepad.exe白进程的PE数据

梳理出的白进程调用和注入流程关系如下：

图 3‑11 白进程调用和注入的流程关系图

注入白进程的PE数据属于Parallax RAT远控木马，在内存中运行时会尝试连接域名asianmedics.today，解析到的IP为23.160.208.250，端口号为8647。Parallax RAT属于公开的商业远控，具备文件管理、击键记录、远程桌面、密码窃取、命令执行、进程管理、上传和执行等能力，功能运行都成熟稳定，足以支持常规的窃密操作。

图 3‑12 典型的Parallax RAT控制面板

3.5 对抗手段分析

上述四个木马程序皆具备以下三种对抗分析的能力：

a）拥有数字签名：形成一定的免杀能力，迷惑取证分析时的人工判断，且基本每次行动都会更换签名。

图 3‑13 木马程序皆有数字签名

a）文件图标伪装：题材的选取上非常随意，并无表现出针对性。

图 3‑14 木马程序皆有图标伪装

图 3‑15 同源木马程序也存在图标伪装

c）时间戳篡改：都被统一篡改成了2006-12-05 20:36:44，意在对抗时区分析。

图 3‑16 木马程序皆有篡改时间戳

在后续关联出的同源木马中，除了存在以上常用的三种对抗技巧外，还有如填充无用字节形成数百兆的大体积文件以对抗云查杀等手段。

4.Bhima Koregaon案件

4.1 攻击流程分析

2016年6月13日下午3点07分，印度知名社会活动家Rona Wilson收到一封来自其好友Varavara Rao的电子邮件，信中提醒Rona Wilson下载查看附件中的文档“another victory.doc”，并表示文件来自Kobad（疑似Kobad Ghandy）。Rona Wilson此时并不知道Varavara Rao的邮箱账号早已被黑客盗用，附件文档也被漏洞（CVE-2012-0158、CVE-2015-1642）所武器化，如果被点击打开，系统会被植入商业远控木马NetWire：

图 4‑1 攻击邮件一（未攻击成功）

Rona Wilson查看该邮件后，发现附件的文档不能被正常打开，回复对方说希望重新发送一份。对方在14分钟后重新发送了一份与上述所类似的攻击文档，并用ZIP压缩打包，表示“希望这次能顺利运行”：

图 4‑2 攻击邮件二（未攻击成功）

Rona Wilson尝试下载对方发送的压缩包，但发现附件被浏览器告警存在病毒，不能成功下载。将该情况告知对方后，对方时隔38分钟又回复了一条Dropbox网盘的下载链接，并声称自己不擅长电脑技术，于是重新上传到了网盘中希望Wilson下载。

但正文中的Dropbox链接实际指向了一条暗链接，点击后实际上是从攻击者的服务器下载：

图 4‑3 攻击者的回复包含暗链接

Rona Wilson这次成功的将RAR压缩包下载回来，并回复对方这次虽然已经能够下载，但是打开后会弹出一个损坏的文件，只有信头可读，其他文字全是乱码：

图 4‑4 Wilson回复对方已经成功下载文件并打开

图 4‑5掩饰文档展示的内容

此刻Rona Wilson还没意识到，自己的笔记本电脑已经经历了如下图所示的木马植入流程，对方能已经能够通过NetWire木马远程控制其电脑系统：

图 4‑6 攻击邮件三（成功实现了攻击入侵）

4.2 诬陷投递分析

攻击者从Rona Wilson的电脑中进行一系列的窃密操作。根据Arsenal公司的取证报告[2]，攻击者将本地的重要文件复制到C盘建立的“backup2015”目录中，在利用脚本调用同步工具将文件同步到攻击者的FTP服务器上，操作对象包括本机硬盘以及所有接入系统的外设存储设备。

更重要的，攻击者也向Rona Wilson的电脑中进行一系列的文件投送操作。根据Arsenal公司的取证结果[2]，2016年11月3日，攻击者在Rona Wilson电脑的D盘中建立了一个名为“Rbackup”的目录，然后将其设置为隐藏属性。Wilson的电脑中安装了Quick Heal杀毒软件，其行为监测系统（BDS）会日常记录系统中各种应用程序的执行信息。通过还原出的记录表明，在创建“Rbackup”隐藏目录后的一年多里，攻击者通过NetWire远控向该隐藏目录陆续发送了上千封精心制作的信件文件，而这些信件的内容会严重触犯印度的反恐法律。

通讯信件的投递过程都是通过NetWire木马远程进行的，通常以向隐藏目录发送RAR压缩包和WinRAR解压程序开始，然后在同目录下解压出一堆文件，最后以删除该RAR压缩包和该WinRAR程序的操作为结束。

这些通讯信件以PDF格式和Office格式为主，内容大都是格式简陋的传统信件，不像电子邮件具备严格的数字痕迹，而且大多数的信件文件据称还被刻意地清除了元数据。

图 4‑7 信件内容为购买军火和刺杀莫迪总理

同时这些信件的创建和留存还存在诸多疑点：

Rona Wilson电脑安装的是Word 2007，但大多关键的信件文件是通过Word 2010或2013编辑后另存为PDF的；

Rona Wilson电脑安装的是WinRAR v3.70，但解压信件文件包的是突然出现后又被立马删除的WinRAR v4.20；

Rona Wilson电脑的系统日志和软件日志中，找不到任何浏览记录表明用户曾经点开过该隐藏目录和其中的文件。

4.3 事件流程梳理

2018年3月14日，攻击者将隐藏目录积累的大量信件中最关键性的一部分，复制到了连接在Rona Wilson电脑上的闪迪U盘中。

2018年4月16日下午4点50分，“Rbackup”隐藏目录最后一次被攻击者更改。

2018年4月17日早上6点，印度马哈拉施特拉邦的浦那区警方，声称通过得到线人密报[5]，前往突袭了Rona Wilson位于新德里的住宅，并在Wilson使用的U盘和电脑硬盘中查获了一些足以论罪的数字证据。

图 4‑8 Bhima Koregaon案件时间线

5.溯源分析

由于大量攻击活动使用的是商业远控工具，所涉及恶意程序的有效时间戳也基本被篡改，已无法通过基于正常作息的时区分析去推理攻击者所在的地理位置。但攻击者在制作掩饰白文档的过程中，通过浏览器将HTML网页另存为PDF文档的阶段里，我们收集到此类PDF样本中有少数的几例记录下了疑似攻击者机器所处的时区：UTC 05’30’：

图 5‑1 掩饰文档记录的时区

UTC 05:30时区除了适用于斯里兰卡外，也是印度的国家标准时间。

6.小结

安天对来自疑似印度的网络攻击的捕获分析始于2013年，先后捕获、分析、命名了“白象”、“幼象”、“苦象”等攻击组织。在过去近10年的攻击中，印度的网络攻击中心逐渐从巴基斯坦转移到中国。而通过对“暗象”攻击组织的活动，我们可以看到印度相关机构不仅极为频繁对周边国家实施网络攻击，同时也将网络攻击手段广泛用于国内目标，甚至用攻击手段构陷其国内社会活动人士，相关组织行动隐蔽能力较强，值得关注与警惕。

参考资料

[1] ModifiedElephant APT and a Decade of Fabricating Evidence

https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/

[2]【Rona Wilson计算机设备取证报告】BK-Case-Rona-Wilson-Report-I

https://arsenalexperts.com/persistent/resources/pages/BK-Case-Rona-Wilson-Report-I.zip

[3]【Rona Wilson iPhone 6s取证报告】BK-Case-Rona-Wilson-Report-IV

https://arsenalexperts.com/persistent/resources/pages/BK-Case-Rona-Wilson-Report-IV.zip

[4] One of many "process trees" Arsenal built from recovered application execution data on Rona Wilson's computer

https://twitter.com/ArsenalArmed/status/1359472050235199490/photo/1

[5]【孟买高等法院刑事令状请愿书】Ronal-Wilson_Bombay-HC

https://theleaflet.in/wp-content/uploads/2021/02/Ronal-Wilson_Bombay-HC.pdf

往期回顾：

[1] “幼象”组织在南亚地区的网络攻击活动分析

“幼象”组织在南亚地区的网络攻击活动分析

[2] “幼象”组织针对巴基斯坦国防制造商的攻击活动分析报告

“幼象”组织针对巴基斯坦国防制造商的攻击活动分析报告

​[3] “苦象”组织上半年针对我国的攻击活动分析

“苦象”组织上半年针对我国的攻击活动分析

​[4] 苦象组织近期网络攻击活动及泄露武器分析

苦象组织近期网络攻击活动及泄露武器分析-安天 智者安天下

​[5] 白象的舞步——来自南亚次大陆的网络攻击

白象的舞步——来自南亚次大陆的网络攻击-安天 智者安天下

​[6] “折纸”行动：针对南亚多国军政机构的网络攻击

“折纸”行动：针对南亚多国军政机构的网络攻击-安天 智者安天下

​[7] 安天发布：潜伏的象群——越过世界屋脊的攻击

安天发布：潜伏的象群——越过世界屋脊的攻击

​​​​

完全模拟开始中的运行……功能

请输入程序、资料夹、文件或 Internet 资源的名称，Windows 会自动开启。

如果说您我也可以做到这种功能，只要是可开启的、可执行的，通通可以做到，您相信吗？不要怀疑！不但可以做到，而且更让您惊讶的，是程序竟然这么短，只要一行就可以了！

您一定认为要用 API，喔！不是！先别乱猜，这次不用声明 API！直接来看一个例子：

主要代码:

Call Shell("rundll32.exe url.dll,FileProtocolHandler " & Me.Text1, 1)

​

示例下载：

在“了解更多”里下载。

演 示:

为WinPE添加右键菜单

随着我们对WinPE了解得越来越多，我们已经不满足于仅仅使用WINPE，还希望能够对WINPE进行DIY，赋予它更多的功能。

今天我们来讲讲如何为WinPE添加右键菜单。

一、添加右键看图功能

WINPE为了减少体积，一般会把自带的看图软件精简掉。大多数WINPE会用第三方看图程序imagine代替。

那我们如何添加imagine并添加右键看图菜单呢？

方法如下：

1、在WINPE的Program Files放入imagine绿色版。

2、在PECMD.INI或其他INI文件添加如下内容：

EXEC %ProgramFiles%ImagineImagine64.EXE /assocext /regcontextmenu

或者在WINPE的批处理文件中加入如下内容：

rem 关联 Imagine

%ProgramFiles%ImagineImagine64.exe /assocext /regcontextmenu

效果如下：

二、右键添加IMDISK

ImDisk是一款非常小巧方便的虚拟硬盘工具，它可以创建、加载普通镜像文件，也可以将内存中的一部分空间虚拟成硬盘，存放数据以获得高速读取速度。有图形界面及命令行支持。

添加方法如下：

1、添加文件

把IMDISK.SYS放system32下面DRIVERS里面，在system32下面加入imdisk.exe、imdsksvc.exe、IMDISK.CPL三个文件。

2、修改注册表

修改system32文件夹下config文件夹内的system文件。导入如下内容：

注册表一：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINEpeControlSet001ServicesImDisk]

"Type"=dword:00000001

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,

74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,

00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6d,00,64,00,69,00,73,00,6b,00,

2e,00,73,00,79,00,73,00,00,00

"DisplayName"="ImDisk Virtual Disk Driver"

"Description"="Disk emulation driver"

注册表二：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINEpeControlSet001ServicesImDskSvc]

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,

00,6d,00,64,00,73,00,6b,00,73,00,76,00,63,00,2e,00,65,00,78,00,65,00,00,00

"DisplayName"="ImDisk Virtual Disk Driver Helper"

"ObjectName"="LocalSystem"

"Description"="Helper service for ImDisk Virtual Disk Driver."

PS：修改WINPE注册表的方法，参考我写的《设置WinPE的X盘大小》。

3、添加批处理命令：

PUSHD %~dp0

SET TP=�%

reg add "HKCRDriveshellImDiskSaveImage" /f /ve /t REG_SZ /d "保存ImDisk虚拟磁盘"

reg add "HKCRDriveshellImDiskSaveImagecommand" /f /ve /t REG_SZ /d "rundll32.exe imdisk.cpl,RunDLL_SaveImageFile %%L"

reg add "HKCRDriveshellImDiskUnmount" /f /ve /t REG_SZ /d "卸载ImDisk虚拟磁盘"

reg add "HKCRDriveshellImDiskUnmountcommand" /f /ve /t REG_SZ /d "rundll32.exe imdisk.cpl,RunDLL_RemoveDevice %%L"

reg add "HKLMSOFTWAREClassesUltraisoshellImDiskMountFile" /f /ve /t REG_SZ /d "加载ImDisk虚拟磁盘"

reg add "HKLMSOFTWAREClassesUltraisoshellImDiskMountFilecommand" /f /ve /t REG_SZ /d "rundll32.exe imdisk.cpl,RunDLL_MountFile %%L"

reg add "HKLMSOFTWAREClassesWinimageshellImDiskMountFile" /f /ve /t REG_SZ /d "加载ImDisk虚拟磁盘"

reg add "HKLMSOFTWAREClassesWinimageshellImDiskMountFilecommand" /f /ve /t REG_SZ /d "rundll32.exe imdisk.cpl,RunDLL_MountFile %%L"

添加好imdisk右键后，效果如下图：

三、添加右键文件校验

右键文件校验有2个办法。第一个办法是用HashTab.dll文件实现。

我们把HashTab.dll文件拷贝到system32文件夹下。

然后在批处理文件中加入如下内容：

rem 关联文件校验

regsvr32 /s "%WINDIR%SYSTEM32HashTab.dll"

reg add "HKU.DEFAULTSoftwareHashTabAlgorithmsCRC32" /f /v "Enabled" /t REG_DWORD /d 1

reg add "HKU.DEFAULTSoftwareHashTabAlgorithmsMD5" /f /v "Enabled" /t REG_DWORD /d 1

效果如下：

第二个方法是用gohash软件实现右键校验功能。

GoHash是一个Ghost密码查看和文件Hash校验的工具。才59kb，比HashTab.dll体积要小，功能却更强大。所以现在我们一般用gohash取代了HashTab.dll。

添加方法：

首先把GoHash放到WINPE中，然后在批处理文件中加入如下内容

rem 关联右键文件校验和GHO密码破解

reg add "HKLMSOFTWAREClasses*shellGoHashCommand" /f /ve /t REG_SZ /d ""%TP%toolsGoHash.EXE" "%%1""

PS：%TP%toolsGoHash.EXE为程序路径。写的时候根据实际路径来。

四、右键MakeCab、Expand

MakeCab、Expand是压缩和解压命令，系统自带的，我们直接添加批处理命令即可：

rem 右键MakeCab、Expand

reg add "HKLMSOFTWAREClasses*shellMakecab" /f /ve /t REG_SZ /d "用Makecab压缩"

reg add "HKLMSOFTWAREClasses*shellMakecabcommand" /f /ve /t REG_SZ /d "makecab.exe /D CompressionType=LZX /D CompressionMemory=21 /D Cabinet=ON /D Compress=ON "%%1""

reg add "HKLMSOFTWAREClasses*shellexpand" /f /ve /t REG_SZ /d "用Expand解压"

reg add "HKLMSOFTWAREClasses*shellexpandcommand" /f /ve /t REG_SZ /d "expand.exe -r "%%1""

五、右键添加重启资源管理器功能

批处理添加如下命令：

Rem 添加右键“重启资源管理器”菜单

reg add "HKLMSoftwareClassesDirectorybackgroundshellkillexplorer" /f /ve /t REG_SZ /d "重启资源管理器（F8）"

reg add "HKLMSoftwareClassesDirectorybackgroundshellkillexplorer" /f /v "Icon" /t REG_SZ /d "X:windowsSystem32SHELL32.dll,238"

reg add "HKLMSoftwareClassesDirectorybackgroundshellkillexplorer" /f /v "Position" /t REG_SZ /d "Top"

reg add "HKLMSoftwareClassesDirectorybackgroundshellkillexplorerCommand" /f /ve /t REG_SZ /d "pecmd KILL EXPLORER.EXE"

六、关联右键显示/隐藏文件和后缀

需要WINPE支持VBS。在system32文件夹内加入showfile.vbs文件（参考天意PE），批处理添加如下命令：

rem 关联右键显示/隐藏文件和后缀

reg add "HKLMSOFTWAREClassesCLSID{00000000-0000-0000-0000-000000000022}InProcServer32" /f /ve /t REG_EXPAND_SZ /d "%%SystemRoot%%system32shdocvw.dll"

reg add "HKLMSOFTWAREClassesCLSID{00000000-0000-0000-0000-000000000022}InProcServer32" /f /v "ThreadingModel" /t REG_SZ /d "Apartment"

reg add "HKLMSOFTWAREClassesCLSID{00000000-0000-0000-0000-000000000022}Instance" /f /v "CLSID" /t REG_SZ /d "{3f454f0e-42ae-4d7c-8ea3-328250d6e272}"

reg add "HKLMSOFTWAREClassesCLSID{00000000-0000-0000-0000-000000000022}InstanceInitPropertyBag" /f /v "method" /t REG_SZ /d "ShellExecute"

reg add "HKLMSOFTWAREClassesCLSID{00000000-0000-0000-0000-000000000022}InstanceInitPropertyBag" /f /v "Param1" /t REG_SZ /d "showfile.vbs"

reg add "HKLMSOFTWAREClassesCLSID{00000000-0000-0000-0000-000000000022}InstanceInitPropertyBag" /f /v "command" /t REG_SZ /d "显示/隐藏文件和后缀"

reg add "HKLMSOFTWAREClassesCLSID{00000000-0000-0000-0000-000000000022}InstanceInitPropertyBag" /f /v "CLSID" /t REG_SZ /d "{13709620-C279-11CE-A49E-444553540000}"

reg add "HKLMSOFTWAREClassesDirectoryBackgroundshellexContextMenuHandlersigfxcui" /f /ve /t REG_SZ /d "{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}"

reg add "HKLMSOFTWAREClassesDirectoryBackgroundshellexContextMenuHandlersNew" /f /ve /t REG_SZ /d "{D969A300-E7FF-11d0-A93B-00A0C90F2719}"

reg add "HKLMSOFTWAREClassesDirectoryBackgroundshellexContextMenuHandlersshowhide" /f /ve /t REG_SZ /d "{00000000-0000-0000-0000-000000000022}"

七、右键PECMD加载ini

批处理添加如下命令：

rem 右键PECMD加载ini

reg add "HKCR.ini" /ve /d "pecmd" /f

reg add "HKCRpecmd" /ve /d "ini配置文件" /f

set kjname=打开

set kjml=%windir%system32NOTEPAD.EXE %%1

reg add "HKCRpecmdshell" /ve /d "%kjname%" /f

reg add "HKCRpecmdshell%kjname%command" /ve /d "%kjml%" /f

set kjname=PECMD 加载配置

set kjml=%windir%system32pecmd.exe load %%1

reg add "HKCRpecmdshell%kjname%command" /ve /d "%kjml%" /f

八、右键添加fastcopy

Fastcopy是一款速度非常快的文件拷贝软件。可以代替系统自带的拷贝功能。

添加方法如下：

1、我们首先把fastcopy程序放到WINPE中。

2、然后批处理添加如下命令：

rem 关联fastcopy右键

regsvr32 /s "%TP%文件工具Fastext1.dll"

PS：%TP%文件工具Fastext1.dll为程序路径。写的时候根据实际路径来。

右键菜单还有很多，比如右键关联7Z、office等等。通过右键菜单的添加，使得WINPE的功能更强大，使用更方便。

期待大家能够发掘更多的右键菜单！

重创五角大楼的威胁卷土重来：病毒新变种出Part 1

译者：an0nym0u5

预估稿费：80RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

Agent.BTZ也称作ComRAT，是全球范围内最古老的威胁之一，以2008年袭击美国五角大楼时间著称，技术层面来说，Agent.BTZ是一个由Turla组织开发维护的运用了Snake/Uroburos rootkit技术的用户模式RAT。在过去的几个月我们主导了针对Agent.BTZ代码库以及该病毒如何利用Intezer代码智能技术进行变异的研究，基于我们的研究成果，我们捕捉到了一批新病毒样本，还有超过70个之前未知的活跃IP和DNS地址，这些IP地址正在滥用在非洲和中东地区的卫星互联网服务。本文是我们过去几个月新研究成果的简短概述，后续还会发表文章详细描述我们利用自己的技术发现病毒新变种的过程并会对新病毒样本作完整分析。

Dropper

病毒代码本身并没有抄袭，它与WinRAR没有任何关系，它只是尝试模仿WinRAR的SFX安装器，复制了WinRAR的图标、布局等，如下图所示：

病毒执行时dropper会在主机重启后安装activeds.dll，这是一个直接加载到explorer.exe的代理动态链接库，该代理动态链接库用于加载病毒的核心payload stdole2.tlb，之后dropper会删除所有之前安装在受害者主机的Agent.BTZ，这通过以下硬编码文件路径来实现：

a）C:Documents and Settings<USER>Application DataMicrosoftWindowsThemestermsvr32.dll

b）C:Documents and Settings<USER>Application DataMicrosoftWindowsThemespcasrc.tlb

注意：以上文件名首次使用是在2014年，详细可以参考automatic Dr.WEB report。

上述步骤完成后dropper会利用以下命令进行重命名并自我销毁：

C:WINDOWSsystem32rundll32.exe C:DOCUME~1<USER>~1APPLIC~1MICROS~1Windowsstdole2.tlb,UnInstall C:~$.tmp”

a）69690f609140db503463daf6a3699f1bf3e2a5a6049cefe7e6437f762040e548

b）6798b3278ae926b0145ee342ee9840d0b2e6ba11ff995c2bc84d3c6eb3e55ff4

stdole2.tlb介绍：上文提过该文件是伪造的sfx dropper安装的病毒的主要组件，它通过activeds.dll加载，我们从每一个样本中提取了配置信息以获取c2地址和内部版本信息（PVer），这些信息存储在每一个Agent.BTZ样本中。以前Agent.BTZ病毒的开发者采用了一个增量值标识内置版本号，据2014年G-Data的报道[5]，已知的最后一个值是3.26，看起来病毒开发者察觉到了该报道，从此停用了增量值。该病毒的新变种采用了不同以往的0.8/9.<RANDOM_VALUE>（随机值）数字化系统使得研究者更难定位到样本的版本号。

、

从样本提取到的配置信息--PVer 0.9.1528434231

即使没有PVer序列号，我们也能够利用自己的技术手段[6]获知这些新样本是来自于新版本，当然这些病毒样本是在Agent.BTZ最后已知的版本3.25/3.26版本基础上发展而来，以下是下图中前两个文件的md5：

1）4e553bce90f0b39cd71ba633da5990259e185979c2859ec2e04dd8efcdafe356(VirusTotal)

2）3a6c1aa367476ea1a6809814cf534e094035f88ac5fb759398b783f3929a0db2(VirusTotal)

这些文件几乎都是在3年前上传到VT的！

来自Intezer代码智能工具[7]的图展示了我们数据库中的与新样本共享代码片段的系列文件，这些代码片段专门针对Turla组织的恶意软件家族，并没有在其他任何恶意或合法软件中出现过。

发现的样本

1）6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96

2）49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e

3）e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49

4）89db8a69ff030600f26d5c875785d20f15d45331d007733be9a2422261d16cea

IOC：