type
Post
status
Published
date
Apr 10, 2022
slug
Bypass-exe
summary
一次白文件的利用学习
tags
免杀
category
技术分享
icon
password

原理分析

workfolders命令会执行当前目录下的control.exe文件。workfolders是win10自带的命令
所以在某种情况下,可以不用直接用cmd.exe去执行木马,直接将木马文件名改成control.exe,然后用workfolders去执行即可,在一定程度上规避杀软,类似于dll劫持那样。
 
 

运行截图

notion image
VMware虚拟机安装ESD镜像文件一次Linux遭入侵被挖矿的应急响应经历