吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11593|回复: 78
收起左侧

[PC样本分析] 总裁封装工具SC3.0存在恶意劫持分析报告

  [复制链接]
特特小分队 发表于 2021-6-7 18:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
总裁封装工具SC3.0是目前用的人数比较多的一款系统封装工具,官方宣称无广告,无劫持防流氓封装,但事实真的是这样吗?本人最近正好需要封装系统,发现使用该软件后系统Edge被恶意修改,于是便有这篇分析过程。
测试环境:Vmware虚拟机
测试系统:Win Ltsc 2016 X64
1、使用win10官方版镜像进行纯净安装,微软官方安装最新版Edge 91,安装后将补丁更新到最新20210605
2、安装火绒卫士并更新到最新,进行全盘查杀,打开Edge主页正常,再次确认环境安全准备封装
3、官方下载scpt3.0.0.122并更检测更新。
      校验哈希值Scpt.exe
      MD5: 909EA880F360DB0557A85AD13E818922
      SHA256: 7ABCAA827FAFE5185AACB4805AE92A5A61B0DF25B0D6C684E7873953986150D8
4、检查封装参数,将可能涉及自动安装软件插件的选项去除,开始封装系统
      Snipaste_2021-06-07_17-33-14.png

5、封装系统后,提示重启或关机进行备份镜像,由于我们是测试因此这里不进行备份,而是直接重启系统进入系统安装过程,同时也避免了WinPE不纯净等因素。
进入安装好的系统之后,ScTasks.exe 随机在Temp目录下生成随机可执行文件 本次是AwJRoo.exe
Snipaste_2021-06-06_13-58-21.png

继续跟踪AwJRoo.exe文件行为,发现,该程序枚举已安装的浏览器并进行劫持修改主页。
Snipaste_2021-06-06_14-00-26.png
Snipaste_2021-06-06_14-01-13.png
Snipaste_2021-06-06_14-01-56.png

恶意修改以后,ScTasks.exe尝试删除随机生成的恶意文件AwJRoo.exe,被我拦截,并提取样本。
Snipaste_2021-06-06_14-04-35.png

此时我们打开系统的Edge浏览器,发现主页已被偷偷劫持,但似乎该域名已经无法访问。
Snipaste_2021-06-06_14-02-32.png

将随机产生的病毒样本AwJRoo.exe发送至多家云分析平台,结果大跌眼镜,该恶意程序可能有反虚拟机技术,多家云检测平台均无法识别,显示为安全。
Snipaste_2021-06-06_14-09-29.png


至此整个分析过程也差不多了,总裁封装工具SC生成的随机恶意文件由于在系统首次启动后才会运行,而且会自我销毁,手段极其隐蔽,火绒安全卫士,360安全卫士均无法识别,不过庆幸的是微软自带的防毒软件windows defender已经可以识别,但这里有个问题,windows defender识别发现以后,该恶意软件已经成功运行并自我销毁了,因此在windows defender防护日志中只能查看到记录是删除,而不是隔离,因此无法通过还原来提取恶意软件。所有那些所谓的无广告,无劫持都是骗人的,实际上在总裁封装工具的论坛已经有人反馈这个问题,但是官方却会说是的PE环境不干净导致的,通过本次测试算是石锤了。毕竟是免费的工具嘛,恶意程序危害相对也比较低。

免费评分

参与人数 27吾爱币 +25 热心值 +24 收起 理由
sdpaopao + 1 + 1 我很赞同!
梦蝶葬花 + 1 + 1 我很赞同!
5omggx + 1 用心讨论,共获提升!
何处是开始 + 1 + 1 用心讨论,共获提升!
anythingsky + 1 + 1 经过我的测试确实如楼主所说,多谢 提醒
fengbolee + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
mangod + 1 + 1 IT天空也是一个德行,会偷偷的注入2345推广
onmiuncai + 1 + 1 当总裁用上流氓手段的那一刻,我就决定不再用它!
yuan3718 + 1 + 1 谢谢@Thanks!
ZZF1949 + 1 + 1 除了主页,收藏夹也有加料!
Hegemonism + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
chaohao1988 + 1 请看54楼
lcjok92021 + 1 + 1 谢谢@Thanks!
asdafasda + 1 + 1 用他们优盘魔术师中的'SGI(映像总裁)“会篡改浏览器主页(不管是原版系统还.
姚小凌龙 + 1 我很赞同!
l7518597 + 1 + 1 他怎么不敢搞360浏览器呢?怕被反杀吗
yinbinly + 1 分析下ES5
啊啊啊啊啊啊 + 1 + 1 我很赞同!
哎黑细作 + 2 + 1 是他们家驱动软件
youhetang + 1 大神,想问一下,你用的跟踪软件是什么?
爱你小吉君 + 1 热心回复!
丿灬尕殇灬 + 1 + 1 确实,我也是发现一样的问题,看了大家的评论,我也发表下个人的意见。 我.
mypj52 + 1 + 1 只是修改主页和收藏夹,没有锁定和安装流氓软件,可以接受
yyb414 + 1 + 1 谢谢@Thanks!
DavisC + 1 + 1 谢谢@Thanks!
夜月里的星光 + 1 + 1 谢谢@Thanks!
Yukino1 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

▍左瞳—LIKE^_^ 发表于 2021-6-7 18:51
一直在使用IT天空,感觉挺好的,SC总感觉怪怪的。

免费评分

参与人数 1热心值 +1 收起 理由
mypj52 + 1 IT天空一个样

查看全部评分

冥界3大法王 发表于 2021-6-7 18:36
chaohao1988 发表于 2021-6-9 12:55

这个问题去年3月我就发现了,在他们网站发帖立马给删,根本没给解析的

USM流氓行为.png

免费评分

参与人数 1热心值 +1 收起 理由
yinbinly + 1 666

查看全部评分

martian619 发表于 2021-6-8 00:20
呃,有没有干净的推荐啊,好多都是这样。
素梳999 发表于 2021-6-7 18:21
软件上下面“把你的推广软件集成到系统”这句话,已经就很怪异了。。。
lras 发表于 2021-6-7 18:35
系统还是用msdn的安装版好
云烟成雨 发表于 2021-6-7 18:45
U大仙也是宣称无广告,但也推广网址和主页,比这个还恶心,不但改主页,还注册dll服务隐藏在Windows目录里面自启动,不装系统只进一下他的PE都会整一堆广告出来,在他们群里问管理,管理也不回,就是流氓
longbbyl 发表于 2021-6-7 18:47
这是国产软件的通病。不耍流氓怎么赚钱。周老板才是是这个领域的王者
hk6242337 发表于 2021-6-7 19:05
自己的系统用不着封装的。直接做完系统优化完,用备份软件直接备份就行啦,比如ghost,或者别的
blindcat 发表于 2021-6-7 19:42
就怕流氓有文化
ydd6217 发表于 2021-6-7 19:52
难怪之前封装的系统,里面edge浏览器有问题……
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 14:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表