mg娱乐电子4355_mg娱乐电子游戏平台
做最好的网站

Windows 7 细节功能 - 内置的故障诊断特性 - Windows7之家,Win7之家

时间:2019-11-22 09:11来源:计算机操作
Win7之家:Windows 7 细节功能 - 内置的故障诊断特性 Windows故障诊断从WindowsXP时代出现,特别是网络部分的诊断是Windows用户的常用功能.Windows的诊断特性可以发现系统的问题并用可以理解的

Win7之家:Windows 7 细节功能 - 内置的故障诊断特性

图片 1

Windows故障诊断从Windows XP时代出现,特别是网络部分的诊断是Windows用户的常用功能.Windows的诊断特性可以发现系统的问题并用可以理解的方式告诉用户,但是它对于有经验的用户来说根本就是鸡肋功能,因此Windows 7中,微软给出了更有技术含量的诊断数据和直观的诊断结果.如图.

概述

Windows 7的诊断更为详细并且结果更为直观.

近日,Proofpoint的安全研究专家们发现了一种基于附件的新型恶意软件传播方式。在安全人员所检测到的恶意软件活动中,攻击者利用的是Windows操作系统中一个名为“故障诊断平台”(WTP)的功能。这一功能原本可以帮助用户解决那些Windows日常使用过程中所遇到的问题,但是在攻击者的眼中,它却成为了一个非常实用的攻击工具。在社会工程学的帮助下,攻击者或可利用该功能来在目标用户的计算机中运行恶意软件。

新的检测功能可以让你知道设备工作的每一项内容,并给出故障状态和修复结果.

安全研究专家发现,这种攻击方式的实际效率非常的高,因为当Windows系统运行故障诊断平台的时候并不会弹出任何形式的安全警告,而当系统弹出了故障诊断窗口之后,用户们也早已习惯于直接通过该平台来解决使用过程中的一些疑难问题了。

在下一代命令行平台Windows PowerShell 2.0上,您还可以得到更多的诊断数据.

详细分析

在此次所发现的恶意软件活动中,攻击者使用了Windows的故障诊断平台来传播LatentBot。当用户感染了这一恶意软件之后,攻击者不仅可以对用户进行监控,而且还可以从目标主机中窃取各类数据。这也就意味着,攻击者将获取到目标主机的远程访问权。

图片 2

图片1:Windows故障诊断平台的体系架构

攻击者可以向目标用户发送一封电子邮件,并在邮件中附带一份看起来非常“诱人”的附件。当然了,用户最终是否会打开邮件附件,完全取决于用户的个人经验和攻击者的社工技巧。需要注意的是,这也是一种典型的恶意软件传播方式。

当用户打开了附件之后,屏幕中会显示出一个包含乱码的文档,此时Word的右上角会温馨地提示用户“双击以自动检测字符集”。如果目标用户选择同意,那么他们这一次就真正地打开了一个嵌入在附件内部的OLE对象,这个对象是一个经过数字签名的DIAGCAB文件。DIAGCAB是Windows故障诊断包的后缀名,“.Diagcab”文件是包含故障诊断脚本的专用存档。

图片 3

图片2:恶意附件的窗口;

如上图所示,攻击者利用了社工学的技巧来欺骗用户双击并执行OLE对象。

当用于攻击的恶意“.Diagcab”文件被打开之后,用户就会看到如图3所示的界面,这个界面的可信度确实非常高,普通用户几乎无法对其安全性进行准确的辨别。如果用户点击了对话框中的“下一步”按钮,那么应用程序将会执行与之相对应的故障诊断脚本。在这种攻击活动中,攻击者运行的是一个PowerShell命令,并通过这个命令来下载并执行恶意payload。

图片 4

图片3:已签名的故障诊断包;

请注意,签名证书中所显示的发布者与攻击活动并没有任何关系。因为攻击者破解了一个有效的证书,并用这个合法证书来进行恶意软件的传播活动。

图片 5

图片4:恶意软件payload的下载

编辑:计算机操作 本文来源:Windows 7 细节功能 - 内置的故障诊断特性 - Windows7之家,Win7之家

关键词: