由一个系统激活工具引起的一次简单测试

各位好，我是零度攻防实验室的精神小伙，Etion

今天可以说是很气愤了，但也挺有意思。。。

为什么这么说呢？事情的起因是这样的。。。

新搭建了一个Win7虚拟机环境，随便找了一个激活工具，官网是这样的。。。(全程不会打码，让大家看看这帮人是多坑小白用户)，这种站居然上了百度第一名，说明投入很高了

本身就是虚拟机随便用一下，没想那么多，下载了一个激活工具

于是乎在虚拟机里面运行，征召就是没有激活成功，出于敏感，我就随手敲了一个netstat -ano，于是乎，我发现了一个奇怪的链接

它用了我的49159和49160对外建立了一个连接，虽然连接是关闭的。我查了一下这个IP的归属地

根据老夫多年的撩妹经验来看，呃呃呃，跑题了。根据经验来看，我应该是中招了，敲一下tasklisk命令根据PID对应一下是那个程序在运行

输入

wmic process getname,executablepath,processid|findstr 2860

锁定这个文件的位置

我们来看一下

根据文件夹的名，去度娘搜索一下

麻辣香锅？根据简拼还真是这样的

好你个麻辣香锅，我看看你到底是什么配方做的！

掏出落灰的Nmap，全端口扫起来

瞧我这暴脾气，通过一段时间的扫目录，找到了好东西，存在未授权访问

新年快乐？我他喵的怎么快乐，查看一下数据

近一个月的记录，全国不知道有多少人中招了。。。

看到这里，我真是火冒三丈，太坑人了，每一天都有被坑的人

未造成合法进程的流氓程序

这次的木马，主要就是通过篡改浏览器主页来达到盈利的目的

警告大家，不要随意运行未知的exe，不要随便乱点，普通用户养成良好的杀毒习惯，绿色上网！

文由零度安全攻防实验室