前些天XX恒公司出一套书，内容不评论好与不好，不卖只送，数据量有量，撩拨的信息安全圈各从业人员心痒难奈，很好理解，得不到的永远是最好的。

网络安全圈那有什么秘密，你只要将一个文件发在200人的群里面，用不了2小时，圈内三分之一的人就都拿到了。也有人找华盟君要书，我回复：你等最多一个月，会有扫描版的pdf。果然不出所料，前天，就有人发出来pdf版。

昨天在某大牛，朋友圈看到说有百盘网盘下载地址：

一共约1.2G，很多人都下载了，好戏刚开始。

过了大概10来分钟，大家都下载完了，打开看书之后，某大牛又发一条朋友圈。

给圈内的哥们吓的，都打开分析器，在分析是否有后门，是否中病毒？

真的，打开pdf，调用了shell32.dll

发现有对外连接ip

都说这有病毒，有木马，各种分析...

这回就嗨了。都集中分析几个问题，

1，用了什么木马？

2，为什么还免杀？

3，谁干的？

1，用了什么木马？

群里各种分析，这个pdf绑的木马用的是：

Microsoft Windows PDF 远程代码执行漏洞(CVE-2017-8737)

各种找漏洞，发现都不是，结论有可能是0day

2，为什么还免杀？

免杀查不出来，可能是技术水平高

3，谁干的？

这就有意思，现在大型攻防演练要开始了，指定是红队，放出来的马。精准打击。去年他就放一个HVV工具包给蓝队，还发钓鱼邮件。没跑了。指定是。

八仙过海，各显神通，分析了2小时....

结果呢？没有木马，

哈哈，惊不惊喜，意不意外？

为什么会调用rundll32.exe，原因是

rundll32

介绍一下Rundll32.exe这个文件，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll64.exe文件，他的意思是"执行64位的DLL文件"， 其命令行下的使用方法为：Rundll32.exe DLLname,Functionname Arguments，DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；Arguments为引出函数的具体参数。

OpenAs_RunDLL

这是一个未公开的dll。其作用为打开文件打开方式的对话框。经常配置windows操作系统的同学应该对这个很熟悉

本地复现

为什么会外连接ip，是pdf软体连接或者是别的软件，不是pdf绑马的原因。我本地试着打开了，的确没有后门。

昨天发的pdf没有后门，明天发的pdf就不一定了，小心反转再反转的戏。
上回cobaltstrike4.1 破解版，也是说有后门，听风就是雨。技术人员自己分析一下，以讹传讹，出来吓人是不对的。从这次事件看出来，网络安全从业人员，安全意识还是有的。还需要提高能力。
网络安全工具有木马很正常，一般用虚拟机打开。要分析软件是否有后门，很简单，这是基本功。
1，用杀病毒软件查查2，打开干净的虚拟机。3，开启抓包1小时看否有对外连接ip这三点最基本。如果你不具备检查木马的能力，你看到热门工具你过两天再看，让子弹飞一会，也许也是个好办法。
从这件事看出来，网络安全圈从业人员水平良莠不一，跟风的多，思考的少。很多蓝队成员如果中了木马，结果很严重，这话怎么说来着？赚着卖白菜的钱，担着卖白粉的责任。
此处应当附下载链接，但这书是有版权的。我们不能发出来，如果你不是为了满足好奇心，真心有需要可以联系华盟君。