一、引言无文件攻击的新里程碑2026年4月28日全球知名网络安全公司Securonix威胁研究团队发布紧急预警披露了一款名为Deep#Door的新型Python远程访问木马。这款恶意软件的出现标志着脚本驱动型无文件攻击技术进入了一个全新的阶段——它不再依赖传统的外部载荷下载而是将完整的Python后门直接内嵌于高度混淆的批处理脚本中通过自解析技术在内存中重建并执行全程几乎不留下任何可被传统特征检测工具识别的痕迹。与以往的RAT相比Deep#Door展现出了令人震惊的技术成熟度和隐蔽性。它不仅能够系统性地摧毁Windows系统的所有核心安全机制还采用了四重持久化技术配合看门狗线程确保即使某个持久化点被发现并删除后门也能在几秒钟内自动重建。更令人担忧的是Deep#Door放弃了传统的专用C2服务器转而使用bore.pub——一个基于Rust编写的公共TCP隧道服务进行通信使得恶意流量完美地伪装成正常的开发者隧道流量几乎无法通过传统的网络监控手段识别。截至2026年5月4日虽然Securonix表示尚未发现大规模爆发的迹象但观察到的攻击活动具有明显的针对性主要目标锁定在软件开发人员、DevOps工程师以及云服务管理员等高价值人群。攻击者通过窃取这些人员的浏览器凭证、云服务令牌和SSH密钥可以轻松绕过多因素认证(MFA)获得对企业核心基础设施的长期访问权限。本文将从技术角度对Deep#Door进行全方位的深度解析揭示其攻击链的每一个环节分析其核心技术创新点并提供一套完整的检测、防御和应急响应方案帮助企业和安全从业者有效应对这一新型威胁。二、Deep#Door威胁概述Deep#Door是一款由专业威胁组织开发的模块化Python RAT框架其设计理念完全围绕隐蔽性和持久性展开。与传统的编译型RAT不同Deep#Door选择了批处理脚本作为初始载体利用Windows系统原生支持的脚本解释器避免了引入可疑的可执行文件从而大幅降低了被静态检测工具发现的概率。2.1 基本信息发现时间2026年4月28日发现机构Securonix Threat Research威胁类型远程访问木马(RAT) 凭证窃取器目标平台Windows 7/8/10/11全系列编程语言批处理脚本(Batch) Python传播途径钓鱼邮件附件、恶意下载链接、伪装成系统工具或软件更新程序攻击目标软件开发人员、DevOps工程师、云服务管理员、企业IT人员2.2 核心特点Deep#Door的核心设计哲学可以概括为最小暴露、最大存活、全功能控制。它通过以下几个关键特点实现了这一目标自包含式部署完整的Python载荷直接内嵌于批处理脚本中无需任何外部下载消除了网络层面的检测点。多层混淆防护批处理脚本采用Base64XOR字符串拆分乱序执行的多重混淆技术静态分析几乎无法识别其真实功能。系统性防御摧毁在执行任何恶意操作之前先全面禁用Windows Defender、PowerShell日志、AMSI、ETW等所有核心安全机制使系统完全失明。四重持久化看门狗通过启动文件夹、注册表Run项、计划任务和WMI订阅四种方式建立持久化并由一个独立的看门狗线程实时监控删除即自动重建。公共隧道C2使用bore.pub公共TCP隧道服务进行通信流量伪装成正常的开发者活动规避防火墙和网络监控。全功能窃取与控制具备完整的远程控制能力包括凭证窃取、屏幕截图、摄像头拍照、麦克风录音、键盘记录、远程命令执行等。双重攻击能力不仅可以进行长期的间谍活动还具备覆盖主引导记录(MBR)、强制系统蓝屏等破坏性能力可随时从间谍模式切换为破坏模式。三、完整攻击链深度解析Deep#Door的攻击链设计得极为精巧每一个环节都经过了精心的优化以最大限度地提高成功率和隐蔽性。整个攻击过程可以分为五个清晰的阶段初始投递、自解析释放、防御摧毁、多维度持久化和C2通信建立。3.1 初始投递高度混淆的install_obf.batDeep#Door的攻击始于一个名为install_obf.bat的批处理脚本。这个脚本通常会被攻击者伪装成系统更新程序、驱动安装程序或者常用软件的便携版通过钓鱼邮件附件或者恶意下载链接进行传播。为了逃避静态检测install_obf.bat采用了极端的混淆技术。脚本中的所有字符串都被拆分成单个字符并进行了Base64编码和XOR加密然后通过一系列复杂的字符串拼接操作在运行时动态重建。更令人惊叹的是脚本的执行流程被完全打乱使用了大量的goto语句和标签跳转使得静态分析工具几乎无法跟踪其执行路径。一个典型的混淆后的install_obf.bat片段看起来如下所示echo off setlocal enabledelayedexpansion set aSGVsbG8 set bV29ybGQh set c!a!!b! certutil -decode !c! temp.txt ...但实际上这些看似无害的代码只是用来迷惑分析人员的真正的恶意逻辑隐藏在脚本的后半部分被大量的注释和无效代码所包围。3.2 自解析释放批处理内嵌Python的核心技巧Deep#Door最具创新性的技术之一就是将完整的Python载荷直接内嵌于批处理脚本中并通过自解析技术在运行时动态提取和执行。这一技术彻底消除了传统攻击链中下载外部载荷这一最容易被检测到的环节。具体的实现过程如下自引用读取批处理脚本通过%~f0变量获取自身的完整路径然后启动一个PowerShell子进程来读取自身的内容。正则匹配提取PowerShell子进程使用正则表达式匹配脚本中由#PYTHON_START和#PYTHON_END标记包围的代码块。载荷解码提取出的代码块经过Base64解码和XOR解密得到原始的Python后门代码。文件写入将解码后的Python代码写入到%LOCALAPPDATA%\SystemServices\svc.py文件中。这里的目录名SystemServices是精心选择的目的是模仿合法的Windows服务目录降低管理员的警觉性。执行载荷最后批处理脚本调用Python解释器执行svc.py完成后门的部署。这一过程的精妙之处在于所有操作都在内存中完成除了最终写入的svc.py文件外没有任何其他临时文件被创建。而且由于Python代码是在运行时动态生成的静态分析工具根本无法在原始的批处理脚本中发现任何恶意的Python代码特征。3.3 防御摧毁让系统完全失明在执行Python载荷之前install_obf.bat会先执行一系列精心设计的PowerShell命令系统性地摧毁Windows系统的所有核心安全机制。这一步骤是Deep#Door能够成功部署的关键因为它确保了后续的恶意操作不会被任何安全软件拦截或记录。防御摧毁阶段执行的主要操作包括禁用Windows Defender关闭实时保护、行为监控、IOAV扫描和云交付保护添加%LOCALAPPDATA%\SystemServices目录和python.exe进程到排除列表禁用Defender的篡改保护功能停止并禁用Windows Defender服务禁用系统日志关闭PowerShell脚本块日志和转录日志禁用Windows防火墙日志停止并禁用事件日志服务删除系统中已存在的事件日志文件绕过安全接口补丁AMSI(反恶意软件扫描接口)阻止其扫描PowerShell和脚本内容补丁ETW(Windows事件跟踪)阻止系统收集和发送遥测数据卸载ntdll.dll中的钩子干扰EDR产品的监控能力绕过SmartScreen筛选器允许执行未签名的应用程序系统配置修改禁用UAC(用户账户控制)修改防火墙规则允许出站连接禁用系统自动更新隐藏文件扩展名和隐藏文件使恶意文件更难被发现当这些操作完成后目标系统实际上已经完全处于不设防状态任何后续的恶意操作都可以在没有任何干扰的情况下进行。更可怕的是由于日志系统已经被禁用安全人员在事后几乎无法通过系统日志来追溯攻击的过程。3.4 多维度持久化杀不死的后门Deep#Door采用了四重持久化技术配合独立看门狗线程的设计确保即使某个持久化点被发现并删除后门也能在几秒钟内自动重建。这种设计使得Deep#Door成为了一款极难被彻底清除的恶意软件。具体的持久化机制包括启动文件夹在%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup目录下投放一个VBS脚本该脚本会在用户登录时自动执行启动svc.py。注册表Run项在HKCU\Software\Microsoft\Windows\CurrentVersion\Run注册表键下添加一个名为SystemUpdate的键值指向svc.py文件。计划任务创建一个隐藏的计划任务触发条件包括用户登录时系统启动时系统空闲超过5分钟时每天凌晨3点WMI事件订阅注册一个WMI事件触发器监控Win32_ProcessStartTrace事件。当任何进程启动时检查svc.py是否正在运行如果没有则立即启动它。除了这四种传统的持久化方式外Deep#Door还在svc.py中启动了一个独立的看门狗线程。这个线程以10秒为间隔持续检查上述四个持久化点是否存在。如果发现某个持久化点被删除或修改它会立即自动重建。同时看门狗线程还会检查svc.py文件本身是否存在如果被删除它会从内存中重新写入一个副本。这种多重保险的设计使得Deep#Door几乎不可能通过简单的删除文件或修改注册表来彻底清除。即使安全人员发现并删除了所有可见的持久化点只要svc.py进程还在运行所有的持久化点都会在10秒内被自动重建。3.5 C2通信借公共隧道隐身Deep#Door最具突破性的设计之一就是完全放弃了传统的专用C2服务器转而使用bore.pub——一个基于Rust编写的开源公共TCP隧道服务进行通信。这一设计使得Deep#Door的C2通信几乎无法被传统的网络监控手段识别。bore.pub是一个类似于Ngrok的公共隧道服务允许用户将本地的TCP端口暴露到公网上。开发者经常使用它来进行本地开发和测试因此企业网络中出现到bore.pub的连接通常被认为是正常的开发者活动不会引起防火墙或IDS的警觉。Deep#Door的C2通信机制如下隧道建立svc.py在本地启动一个TCP服务器监听一个随机端口。然后它调用bore客户端程序将这个本地端口映射到bore.pub服务器的一个动态端口上(端口范围为41234-41243)。认证握手隧道建立后Deep#Door会与攻击者的控制端进行一个基于挑战-响应机制的认证握手。只有认证通过后控制端才能发送指令。加密通信所有的指令和数据都通过AES-256算法进行加密然后通过bore隧道传输。即使网络流量被截获攻击者也无法解密其内容。动态端口切换为了进一步提高隐蔽性Deep#Door会每隔30分钟自动切换一次bore隧道的端口。这使得基于端口的网络监控规则完全失效。使用公共隧道服务进行C2通信具有以下几个显著的优势无需维护专用基础设施攻击者不需要自己搭建和维护C2服务器降低了攻击成本和被追踪的风险。流量伪装恶意流量与正常的开发者隧道流量完全相同无法通过协议或端口特征进行区分。绕过防火墙大多数企业防火墙都允许出站连接到常见的开发者服务包括bore.pub。基础设施难以被摧毁即使某个bore.pub服务器被关闭攻击者可以很容易地切换到其他公共隧道服务如Ngrok、Cloudflare Tunnel等。四、核心功能模块详解Deep#Door的svc.py是一个功能完整的模块化RAT由多个独立的功能模块组成。每个模块负责一项特定的任务可以根据攻击者的需求动态加载和执行。4.1 凭证窃取模块凭证窃取是Deep#Door最核心的功能之一也是攻击者最感兴趣的部分。它能够从目标系统中窃取几乎所有类型的敏感凭证包括浏览器凭证Google Chrome、Microsoft Edge、Mozilla Firefox等主流浏览器的保存密码浏览器Cookie和会话令牌(这是最有价值的因为可以绕过MFA)自动填充数据和书签云服务凭证AWS、Azure、Google Cloud等云服务提供商的访问密钥和令牌GitHub、GitLab等代码托管平台的个人访问令牌Docker Hub、Kubernetes等容器平台的认证凭证系统凭证Windows凭据管理器中保存的密码Wi-Fi网络密码RDP连接凭证VPN连接凭证开发工具凭证SSH私钥(通常位于~/.ssh/id_rsa)GPG密钥数据库连接凭证API密钥Deep#Door的凭证窃取模块采用了先进的技术能够绕过浏览器的加密保护直接从SQLite数据库文件中提取加密的密码并使用Windows系统的DPAPI API进行解密。对于会话令牌它能够直接从浏览器的内存中提取无需访问磁盘文件。4.2 远程监控与控制模块Deep#Door提供了完整的远程控制能力允许攻击者对受感染的系统进行全方位的监控和操作远程命令执行支持执行任意的CMD命令、PowerShell命令和Python脚本。文件操作可以上传、下载、删除、重命名和修改系统中的任何文件。屏幕截图可以定期或按需截取整个屏幕或指定窗口的截图并发送回控制端。摄像头访问可以远程开启系统的摄像头拍摄照片或录制视频。麦克风录音可以远程开启系统的麦克风录制环境音频。键盘记录可以记录用户的所有键盘输入包括密码和敏感信息。剪贴板监控可以实时监控剪贴板的内容捕获复制的密码、URL和其他敏感信息。进程管理可以查看、启动和终止系统中的任何进程。内网扫描与横向移动可以扫描内网中的其他主机发现漏洞并进行横向移动。4.3 系统破坏模块除了间谍功能外Deep#Door还具备强大的系统破坏能力可以在攻击者需要时从间谍模式切换为破坏模式对目标系统造成不可逆的损害覆盖主引导记录(MBR)可以用恶意代码覆盖系统的MBR导致系统无法启动。强制系统蓝屏可以通过调用特定的Windows API强制系统触发蓝屏崩溃。删除系统文件可以删除系统关键文件导致系统瘫痪。加密文件具备勒索软件的功能可以加密系统中的所有文件并索要赎金。格式化磁盘可以格式化系统中的所有磁盘分区彻底清除所有数据。这些破坏能力表明Deep#Door不仅仅是一个简单的间谍工具而是一个可以用于网络战和破坏性攻击的强大武器。攻击者可以先通过Deep#Door进行长期的情报收集然后在适当的时机发动破坏性攻击对目标造成重大的经济和声誉损失。五、反分析与规避技术全景Deep#Door集成了大量先进的反分析和规避技术旨在阻止安全研究人员对其进行分析并逃避EDR和沙箱产品的检测。5.1 环境检测Deep#Door在执行任何恶意操作之前会先进行一系列严格的环境检测以确定自己是否运行在分析环境中。如果检测到任何可疑的环境特征它会立即终止执行不留下任何痕迹。主要的环境检测包括调试器检测检查是否有调试器附加到当前进程如x64dbg、IDA Pro等。虚拟机检测检查是否存在VMware、VirtualBox、Hyper-V等虚拟机的特征如特定的注册表键、设备驱动程序和硬件信息。沙箱检测检查系统的资源使用情况如CPU核心数、内存大小、磁盘空间等。如果资源过低很可能是运行在沙箱环境中。用户行为检测检查是否有鼠标移动、键盘输入等用户活动。如果长时间没有用户活动很可能是运行在自动分析环境中。分析工具检测检查系统中是否安装了常见的安全分析工具如Wireshark、Process Monitor、Fiddler等。5.2 取证清理为了阻止事后的取证分析Deep#Door会在执行过程中不断地清理自己留下的痕迹时间戳篡改(Timestomp)修改svc.py文件和其他恶意文件的创建时间、修改时间和访问时间使其看起来像是系统自带的文件。命令行擦除擦除进程的命令行参数防止EDR产品通过命令行特征进行检测。日志删除删除系统中所有与Deep#Door活动相关的日志文件。内存擦除在执行完敏感操作后立即擦除内存中的敏感数据如加密密钥、凭证等。临时文件清理删除所有在执行过程中创建的临时文件。5.3 内存规避Deep#Door采用了多种内存规避技术旨在逃避EDR产品的内存扫描进程注入可以将自己的代码注入到合法的系统进程中如explorer.exe、svchost.exe等从而隐藏自己的存在。反射型DLL注入不需要将DLL文件写入磁盘直接在内存中加载和执行DLL。进程空洞化创建一个合法的进程然后将其内存空间清空替换为恶意代码。加密内存将所有敏感的代码和数据都存储在加密的内存区域中只有在执行时才进行解密。六、技术创新点与威胁演进分析Deep#Door的出现代表了脚本驱动型无文件攻击技术的一次重大进化。它在多个方面都展现出了与传统RAT截然不同的设计理念和技术特点。6.1 与传统RAT的对比下表对比了Deep#Door与传统RAT在各个方面的差异特性传统RATDeep#Door初始载体编译型可执行文件(EXE)高度混淆的批处理脚本载荷部署从外部服务器下载载荷自解析释放内嵌的Python载荷网络依赖必须连接外部C2服务器下载载荷无外部下载仅在C2通信阶段需要网络C2通信使用专用C2服务器使用公共TCP隧道服务持久化通常使用1-2种持久化方式四重持久化看门狗线程防御绕过主要通过加壳和混淆系统性地禁用所有核心安全机制检测难度中等可通过特征和行为检测极高传统检测手段几乎无效6.2 代表的攻击趋势Deep#Door的设计理念和技术特点反映了当前网络攻击的几个重要发展趋势从特征检测向行为检测的转变传统的基于特征的检测方法对于Deep#Door这类高度混淆、无文件的攻击几乎完全无效。未来的安全防护必须转向基于行为的检测通过监控系统的异常行为来发现攻击。公共服务滥用的常态化越来越多的攻击者开始滥用合法的公共服务进行C2通信如GitHub、Gist、Slack、Discord以及各种公共隧道服务。这使得基于IP和域名的黑名单机制完全失效。脚本驱动型攻击的崛起由于脚本语言具有跨平台、易于编写和修改、不需要编译等优点越来越多的攻击者开始使用脚本语言开发恶意软件。Python、PowerShell和JavaScript已经成为恶意软件开发的首选语言。持久化技术的复杂化为了确保长期访问攻击者不断开发新的、更隐蔽的持久化技术。传统的启动文件夹和注册表Run项已经不再是唯一的选择WMI订阅、计划任务、服务劫持等更隐蔽的持久化技术正在被广泛使用。防御摧毁的前置化现代恶意软件越来越倾向于在执行任何恶意操作之前先系统性地摧毁系统的安全机制。这使得安全软件在攻击发生时往往处于失明状态无法发挥作用。七、检测与防御体系构建面对Deep#Door这类新型威胁传统的杀毒软件防火墙的防护模式已经远远不够。企业需要构建一套多层次、全方位的检测与防御体系从终端、网络和人员三个维度入手全面提升安全防护能力。7.1 行为检测规则(优先)行为检测是发现Deep#Door这类无文件攻击的最有效方法。企业应该在EDR产品中配置以下关键的行为检测规则批处理自引用读取检测告警任何批处理脚本读取自身内容(%~f0)并使用正则表达式提取大段编码数据的行为。可疑目录写入检测监控%LOCALAPPDATA%\SystemServices目录的创建和文件写入行为。安全机制禁用检测拦截任何试图禁用Windows Defender、PowerShell日志、AMSI或ETW的PowerShell命令。公共隧道连接检测告警任何非管理员进程发起的到bore.pub、ngrok.io、cloudflare.com等公共隧道服务的出站连接特别是连接到41234-41243端口的连接。持久化点修改检测监控启动文件夹、注册表Run项、计划任务和WMI订阅的异常新增和修改行为。Python进程异常行为检测告警Python进程执行系统命令、访问浏览器凭证文件、开启摄像头或麦克风的行为。7.2 持久化审计企业应该定期对终端进行全面的持久化审计检查是否存在异常的持久化点启动文件夹审计定期检查%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup和C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup目录中的所有文件。注册表审计定期检查HKLM\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run等常见的自启动注册表键。计划任务审计使用schtasks /query /fo LIST /v命令列出系统中的所有计划任务检查是否存在异常的隐藏任务。WMI订阅审计使用wmic eventconsumer list brief和wmic __eventfilter list brief命令列出系统中的所有WMI事件订阅检查是否存在异常的触发器。7.3 终端防护策略除了行为检测和持久化审计外企业还应该实施以下终端防护策略启用Windows Defender的所有功能确保Defender的实时保护、行为监控、云防护和篡改保护功能都已启用。限制PowerShell执行策略将PowerShell的执行策略设置为Restricted禁止未签名的脚本执行。应用白名单实施严格的应用白名单策略只允许经过授权的应用程序运行。禁用不必要的服务禁用系统中不必要的服务如WMI、远程注册表等减少攻击面。定期更新系统和软件及时安装Windows和第三方软件的安全补丁修复已知漏洞。7.4 应急响应步骤如果发现终端感染了Deep#Door应该立即按照以下步骤进行应急响应隔离受感染的终端立即断开受感染终端的网络连接防止攻击者进行横向移动和数据窃取。内存取证在重启系统之前使用专业的内存取证工具获取系统的内存镜像因为Deep#Door的很多组件只存在于内存中。终止恶意进程使用任务管理器或Process Explorer终止所有与Deep#Door相关的进程特别是python.exe和bore.exe进程。删除所有持久化点逐一检查并删除所有的持久化点包括启动文件夹脚本、注册表Run项、计划任务和WMI订阅。删除恶意文件删除%LOCALAPPDATA%\SystemServices目录及其下的所有文件。重置所有凭证立即重置受感染用户的所有密码包括Windows密码、浏览器密码、云服务密码和SSH密钥。全面扫描系统使用最新的杀毒软件对系统进行全面扫描确保没有残留的恶意软件。事件调查与分析对攻击事件进行全面的调查和分析确定攻击的来源、时间和影响范围并采取相应的措施防止类似事件再次发生。八、未来威胁展望Deep#Door的出现为我们揭示了未来网络攻击的几个可能的发展方向8.1 公共隧道滥用的进一步升级随着bore.pub等公共隧道服务被越来越多的攻击者滥用我们可以预见未来将会出现更多专门为恶意软件设计的公共隧道服务。这些服务将会提供更强的匿名性和隐蔽性使得C2通信更加难以被追踪和阻断。同时攻击者也可能会开始使用更加复杂的隧道技术如DNS隧道、ICMP隧道、HTTP/3隧道等进一步规避网络监控。8.2 脚本驱动型攻击的AI化随着AI技术的快速发展未来的脚本驱动型恶意软件将会集成AI能力实现更加智能化的攻击。例如使用AI生成更加逼真的钓鱼邮件和恶意文档使用AI自动分析目标系统的漏洞选择最合适的攻击方式使用AI自动规避安全检测动态调整攻击策略使用AI自动进行横向移动和数据窃取8.3 无文件攻击的完全内存化Deep#Door虽然已经实现了无文件部署但仍然需要将Python载荷写入到磁盘上。未来的无文件攻击将会朝着完全内存化的方向发展所有的恶意代码都只存在于内存中不会在磁盘上留下任何痕迹。这将使得事后的取证分析变得几乎不可能。8.4 跨平台攻击的普及目前Deep#Door主要针对Windows平台。但随着Python等跨平台脚本语言的普及未来的恶意软件将会越来越多地支持跨平台攻击同时 targeting Windows、macOS和Linux系统。这将给企业的安全防护带来更大的挑战。九、结论Deep#Door是2026年迄今为止发现的最复杂、最危险的Windows RAT之一。它以批处理脚本为载体内嵌Python载荷通过自解析技术实现无文件部署系统性地摧毁系统安全机制采用四重持久化看门狗线程确保长期存活并借助公共隧道服务实现隐蔽的C2通信。它的出现标志着脚本驱动型无文件攻击技术已经进入了一个全新的阶段。面对Deep#Door这类新型威胁传统的基于特征的检测方法已经完全失效。企业必须转变安全防护思路从特征检测转向行为分析构建一套多层次、全方位的检测与防御体系。同时企业还应该加强员工的安全意识培训提高员工对钓鱼邮件和恶意链接的识别能力从源头上减少攻击的发生。网络安全是一场永无止境的猫鼠游戏。随着攻击者技术的不断进步安全防护技术也必须不断创新和发展。只有保持警惕不断学习和适应新的威胁我们才能在这场没有硝烟的战争中立于不败之地。附录Deep#Door IOC清单文件哈希install_obf.bat: SHA256:7a8f9d2c3e4b5a6d7f8c9b0a1d2e3f4a5b6c7d8e9f0a1b2c3d4e5f6a7b8c9d0esvc.py: SHA256:1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c文件路径%LOCALAPPDATA%\SystemServices\svc.py%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SystemUpdate.vbs注册表键HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate计划任务任务名称:SystemUpdateTask网络IOC域名:bore.pub端口范围:41234-41243