目录
基础知识
-
网络渗透的三个步骤
- 信息收集
收集网站相关信息,ip,端口,服务。
- 外网打点
针对已有信息进行漏洞测试
- 内网渗透
-
针对网络攻击的防御措施
WAF(Web应用防火墙)
监控,过滤,阻止潜在恶意流量,在其达到目标Web应用程序之前进行拦截。
-
外网与内网
外网
通过浏览器能访问的网站
内网(安全性高)
本地与虚拟机之间的通讯网络
- 攻击手段
钓鱼
无需漏洞,跳过外网打点过程,直接进入内网渗透 ->肉机
DOS,DDOS
-
Windows权限
用户权限
能杀死用户权限进程
管理员权限
System
windows API 免杀进程
-
shellcode
无地址依赖的一串十六进制代码
-
Loader
shellcode的执行程序
windows安装
-
静态查杀(针对文件的一个静止的状态)
文件状态与运行状态
文件没用运行时与运行后有区别
文件映射
文件状态会遵循PE结构
PE结构(属性——内存映射,文件映射)
运行文件后,文件会映射到内存中
虚拟内存空间——4G
静态查杀
1.检测字符串
2.检测硬编码。十六进制字符串(恶意程序的shellcode是具备一定特征)
二开。
3.特征库的规则匹配(学习。更新,二开后,其他的一些木马提取特征)
启发式查杀
-
启发式查杀
检测API调用链
-
动态查杀
内存检测
将shellcode加密 -》加密后的shellocode写入缓冲区——》将shellcode写入内存 -》shellcode解密||(进行特征库匹配)-》执行
堆加密
时间差
内存检测非常损耗资源
不可能每时每刻都在进行内存检测
电脑运行程序(执行指令)非常快(明文状态只在执行指令的时候)
未执行指令时,让shellcode保持加密状态。
将shellcode加密 -》加密后的shellocode写入缓冲区——》将shellcode写入内存 -》shellcode解密(进行特征库匹配)-》执行-》加密-》解密-》执行-》加密
强制把杀软干掉
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
