记一次应急中发现的诡异事件

0x1 事件概述在一次应急响应中，无意发现来自不同地区和人员的攻击，两种留后门的方法，截然不同的操作，不同的技术手法。0x2病毒的温床Fontsfonts目录常被用于藏匿后门的最佳场所由于不能直接使用资源管理器进行查看，所以我就选择在dos下打印目录结构进行查看。可以看到这个目录下，有各种各样的“非常规文件”1.ini-6.ini文件的内容他们是：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [7]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe [7]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\o ………………………………