总裁封装工具SC3.0存在恶意劫持分析报告
总裁封装工具SC3.0是目前用的人数比较多的一款系统封装工具,官方宣称无广告,无劫持防流氓封装,但事实真的是这样吗?本人最近正好需要封装系统,发现使用该软件后系统Edge被恶意修改,于是便有这篇分析过程。测试环境:Vmware虚拟机
测试系统:Win Ltsc 2016 X64
1、使用win10官方版镜像进行纯净安装,微软官方安装最新版Edge 91,安装后将补丁更新到最新20210605
2、安装火绒卫士并更新到最新,进行全盘查杀,打开Edge主页正常,再次确认环境安全准备封装。
3、官方下载scpt3.0.0.122并更检测更新。
校验哈希值Scpt.exe
MD5: 909EA880F360DB0557A85AD13E818922
SHA256: 7ABCAA827FAFE5185AACB4805AE92A5A61B0DF25B0D6C684E7873953986150D8
4、检查封装参数,将可能涉及自动安装软件插件的选项去除,开始封装系统
5、封装系统后,提示重启或关机进行备份镜像,由于我们是测试因此这里不进行备份,而是直接重启系统进入系统安装过程,同时也避免了WinPE不纯净等因素。
进入安装好的系统之后,ScTasks.exe 随机在Temp目录下生成随机可执行文件 本次是AwJRoo.exe
继续跟踪AwJRoo.exe文件行为,发现,该程序枚举已安装的浏览器并进行劫持修改主页。
恶意修改以后,ScTasks.exe尝试删除随机生成的恶意文件AwJRoo.exe,被我拦截,并提取样本。
此时我们打开系统的Edge浏览器,发现主页已被偷偷劫持,但似乎该域名已经无法访问。
将随机产生的病毒样本AwJRoo.exe发送至多家云分析平台,结果大跌眼镜,该恶意程序可能有反虚拟机技术,多家云检测平台均无法识别,显示为安全。
至此整个分析过程也差不多了,总裁封装工具SC生成的随机恶意文件由于在系统首次启动后才会运行,而且会自我销毁,手段极其隐蔽,火绒安全卫士,360安全卫士均无法识别,不过庆幸的是微软自带的防毒软件windows defender已经可以识别,但这里有个问题,windows defender识别发现以后,该恶意软件已经成功运行并自我销毁了,因此在windows defender防护日志中只能查看到记录是删除,而不是隔离,因此无法通过还原来提取恶意软件。所有那些所谓的无广告,无劫持都是骗人的,实际上在总裁封装工具的论坛已经有人反馈这个问题,但是官方却会说是的PE环境不干净导致的,通过本次测试算是石锤了。毕竟是免费的工具嘛,恶意程序危害相对也比较低。
一直在使用IT天空,感觉挺好的,SC总感觉怪怪的。 都他娘的穷疯了{:301_971:}
这个问题去年3月我就发现了,在他们网站发帖立马给删,根本没给解析的
呃,有没有干净的推荐啊,好多都是这样。 软件上下面“把你的推广软件集成到系统”这句话,已经就很怪异了。。。 系统还是用msdn的安装版好 U大仙也是宣称无广告,但也推广网址和主页,比这个还恶心,不但改主页,还注册dll服务隐藏在Windows目录里面自启动,不装系统只进一下他的PE都会整一堆广告出来,在他们群里问管理,管理也不回,就是流氓 这是国产软件的通病。不耍流氓怎么赚钱。周老板才是是这个领域的王者 自己的系统用不着封装的。直接做完系统优化完,用备份软件直接备份就行啦,比如ghost,或者别的 就怕流氓有文化 难怪之前封装的系统,里面edge浏览器有问题……