这⾥卡了很久,因为⽬标机器为
windows2008 r2
windows2008 r2 ,跟win10系统有点差别,所以我的⼩伙伴注⼊
dll的时候⽼是出⼀些问题,导致直接免杀上线⼀直没有成功。
中间这个资产就放了⼀段时间,到后⾯我们实在找不出其他可以打的靶标之后,我⼜突发奇想的回来看
⼀下进程,翻⼀下⽬录,这次有了新发现。
⾸先发现了
SunloginClient.exe
SunloginClient.exe 这个进程,这个进程我判断出来应该是向⽇葵的进程。
因为之前是直接上了⼀个哥斯拉⻢,⽽这个哥斯拉⻢在访问D盘⽬录下的⽂件时是有乱码且没有权限
进去的,所以当时就没有管这⼏个⽂件夹,以为是user权限进不去这⼏个⽂件夹,这次上了⼀个单独
的asp⼤⻢之后发现了⼀个向⽇葵⽂件夹,进去⼀个
config.ini
config.ini 赫然在列,这就很舒服了。