文章总结： 本文通过分析8737条EDR日志，完整还原了银狐木马攻击链：攻击者利用伪装成腾讯会议的TencentttMeeti5681.exe诱导用户运行，通过II-1.exe和II-10.exe释放3Fv6Bsq.exe后门，采用DLL劫持、旁加载、WebShell等多种技术实现持久化。发现335个未签名进程中包含多个恶意样本，并给出从下载渠道监控到IIS目录防护的五条具体防御建议。 综合评分： 87 文章分类： 恶意软件,应急响应,威胁情报,安全运营,漏洞分析

一份日志揪出木马全链路：从 Excel 告警到攻击AI溯源实战

原创

Andy Andy

实在安全

2026年4月27日 17:03 中国香港

在小说阅读器读本章

去阅读

#

本文还原一次真实的 Windows 端点AI日志取证过程，通过 8000+ 行 EDR 日志，逐步拆解一条以”腾讯会议”为诱饵的木马攻击链。

前言

收到一份名为 20260204_171209.xlsx 的日志文件，来自某企业终端的 EDR（端点检测与响应）系统。文件共 8737 条进程事件记录，记录了一台 Windows 主机在特定时间窗口内的所有进程行为。

任务很简单，只有四个问题：

1. 1. 这台机器中了什么病毒？
2. 2. 日志中有一个伪装成腾讯产品的软件，找出来
3. 3. 未签名进程共有多少个？
4. 4. 名字以 3 开头的异常 exe 是什么？

听起来是 CTF 题，但背后是一条完整的 APT 级攻击链。

一、认识日志结构

拿到 Excel 文件，第一步是搞清楚数据长什么样。用 Python 的 openpyxl 库解析：

import openpyxl
wb = openpyxl.load_workbook("日志查询 20260204_171209.xlsx")
ws = wb.active
headers = [cell.value for cell in ws[1]]
print(headers)

输出 19 列字段：

事件类型 | 事件子类型 | 时间 | 进程用户名 | 进程ID | 进程名
进程映像路径 | 进程文件签名 | 进程SHA1值 | 目标进程PID
进程事件文件路径 | 目标进程文件签名 | 文件SHA1值 | 文件类型
文件大小 | 上次修改时间 | 创建时间 | 最后访问时间 | 进程命令

事件类型分布：

| 事件类型 | 数量 | | — | — | | 进程加载（DLL 加载） | 3516 | | 线程打开 | 2158 | | 进程创建 | 1687 | | 进程终止 | 591 | | 进程打开 | 319 | | 驱动加载 | 151 | | 远程线程创建 | 1（高危） |

整个日志里只有 1 条远程线程创建事件 — 这是进程注入的强烈信号，标记重点。

二、第一个异常：可疑签名机构

对 进程文件签名 字段做唯一值枚举：

signers = set(row[7] for row in data if row[7])

结果里出现了一个刺眼的名字：

Guangzhou TEC Solutions Co., Ltd.（广州某科技公司）

该机构签名的两个 DLL 被 TiWorker.exe（Windows 更新组件）加载：

| 文件名 | 路径 | SHA1 | | — | — | — | | winncap364.dll | C:\Windows\System32\ | b5506ffd4691d3c4859282a8f5a33f551a495b15 | | dtsframe64.dll | C:\Windows\System32\ | 43e95e065c314ec8a63f3e4104712b4663f7569f |

这两个 DLL：

• • 创建时间 2025-12-28（早于日志记录时间，说明是预置的）
• • 放在 System32 目录下伪装系统文件
• • 由 TiWorker.exe 这个合法 Windows 进程加载

这是经典的 DLL 劫持（DLL Hijacking）持久化手法。

三、伪造软件

过滤所有出现 Tencent 关键词的进程路径，发现两类：

正版：

C:\Program Files\Tencent\WeMeet\WeMeet.exe
签名：Tencent Technology (Shenzhen) Company Limited

伪造：

C:\Users\Administrator\Downloads\TencentttMeeti5681\TencentttMeeti5681.exe
签名：None（无签名）

注意名字：TencentttMeeti5681

• • 正版是 TencentMeeting 或 WeMeet
• • 伪造版多了两个 t（typosquatting 打字错误仿冒），加上随机数字 5681
• • 无任何数字签名
• • 在日志中出现 17 次

答：伪造腾讯软件 = TencentttMeeti5681.exe

四、未签名进程数量

unsigned = [row for row in data if not row[7]]  # 进程文件签名为空
print(len(unsigned))  # → 335

答：未签名进程共 335 个

排名 Top 8（含恶意样本标注）：

| 进程名 | 数量 | 备注 | | — | — | — | | System | 187 | 正常（内核进程无签名） | | smss.exe | 41 | 正常 | | StoreDesktopExtension.exe | 32 | 正常 | | HxTsr.exe | 20 | 正常 | | TencentttMeeti5681.exe | 17 | 恶意 | | IsaSetup.exe | 13 | 待核查 | | II-10.exe | 7 | 恶意 dropper | | II-1.exe | 3 | 恶意 dropper |

五、3 开头的异常 exe

过滤进程名以 3 开头的条目：

suspicious = [row for row in data if str(row[5]).startswith("3")]

命中：3Fv6Bsq.exe

| 属性 | 值 | | — | — | | 完整路径 | C:\Users\Administrator\Documents\NCElSz\c8XAtk\3Fv6Bsq.exe | | 签名 | 无 | | SHA1 | be6316f0906fed16e477d0eca5bb07919fea25bc | | 执行命令 | "...\NCElSz\c8XAtk\3Fv6Bsq" （省略 .exe 后缀，规避检测） | | VirusTotal | 未收录 （定制化/未披露样本） |

路径中 NCElSz\c8XAtk 是随机生成的嵌套目录 — 这是 RAT 植入的标准操作，避免路径特征被规则命中。

答：3 开头的异常 exe = 3Fv6Bsq.exe

七、到底中了什么病毒？

前面四个问题的线索拼在一起，攻击链全貌浮出水面：

[用户下载]
TencentttMeeti5681.exe（伪装腾讯会议安装包）
        │
        ├─→ TencentMeeting_x86_64.exe（真实安装包，作为诱饵启动）
        │
        ├─→ II-1.exe（InnoSetup 打包的 dropper #1）
        │       └─→ II-1.tmp 解包
        │               └─→ 释放 3Fv6Bsq.exe 到 Documents\NCElSz\c8XAtk\
        │                       ├─→ 旁加载 TAuxMod64.dll（DLL Sideloading）
        │                       └─→ 打开 Edge elevation_service.exe（提权）
        │
        └─→ II-10.exe（InnoSetup 打包的 dropper #2）
                └─→ II-10.tmp 解包
                        └─→ 写入 C:\inetpub\wwwroot\rMmZhp\ewWB4p\g36Q6KT
                                （IIS WebShell，建立持久化）

攻击行为特征总结：

| 技术 | 具体表现 | | — | — | | 社会工程学 | 伪装腾讯会议安装包诱导用户运行 | | 双重载荷 | 真实安装包 + 恶意 dropper 同时运行，降低用户怀疑 | | DLL 旁加载 | 3Fv6Bsq.exe 加载 TAuxMod64.dll 执行恶意代码 | | 提权 | 利用 Edge elevation_service.exe 进行权限提升 | | WebShell | 在 IIS wwwroot 写入后门，建立 Web 持久化 | | DLL 劫持 | winncap364.dll /dtsframe64.dll 注入 TiWorker.exe | | 随机路径 | NCElSz\c8XAtk\ 、rMmZhp\ewWB4p\ 规避路径特征检测 |

答：银狐。

七、总结

| 问题 | 答案 | | — | — | | 中了什么病毒 | 木马后门（Trojan Backdoor），攻击链特征与 PlugX/ShadowPad 吻合 | | 腾讯相关伪造软件 | TencentttMeeti5681.exe | | 未签名进程数量 | 335 个 | | 3 开头的异常 exe | 3Fv6Bsq.exe （SHA1: be6316f0906fed16e477d0eca5bb07919fea25bc） |

八、防御建议

1. 1. 不要从非官方渠道下载软件，尤其是企业通讯工具（腾讯会议、钉钉、飞书）
2. 2. 开启 EDR 未签名进程告警，335 个未签名进程中有多个恶意样本
3. 3. 监控随机命名目录，Documents\ 下出现随机字符串路径应立即告警
4. 4. IIS 目录写入监控，非部署操作写入 wwwroot 是高危信号
5. 5. DLL 签名白名单，System32 中出现第三方签名 DLL 须严格审查

分析工具：Python openpyxl、ctf-forensics 分析框架、进程树溯源、签名异常枚举

声明：本文所有分析均在授权环境下进行，样本已提交至相关安全团队处理。

如果这篇文章对你有帮助，欢迎转发给你的安全团队。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：实在安全 Andy Andy《一份日志揪出木马全链路：从 Excel 告警到攻击AI溯源实战》