摘要:
这2天测试了一个使用了WMI提供ASEC后门,里面使用了JS脚本往外请求http获取执行命令。但我的分析系统却没抓到这个行为,可在真机中确实抓到有HTTP请求。相当奇怪。最后无奈windbg出手,内核断点afd 发送函数。最后发现是scrcons.exe进程,自然就google后,最后晓得是脚本宿主神马的。最后了解了下这块,多谢EVA大侠的《深入挖掘Windows脚本技术》系统文章。加深了理解。背景小故事说完了。个人对VBS脚本不懂。但常见的创建脚本网上好像都是这样:set fso=wscript.createobject("Scripting.FileSystemObject&qu 阅读全文