目录
# 一. vmware安装win 10虚拟机并传输文件
# 二. 网络类型介绍
表层网络是可以在水面以上看到的互联网部分,深网包含一切不能在表层网络中被索引的内容深网没有索引,因为要么很难进行爬行,要么根本没有被爬行。现在,它的规模也更大了。互联网不仅仅是万维网(WWW,表层网络);它是用于访问表层网络的网络基础设施。因此,深网(或至少其中的大部分;我们马上就会讨论到这一点)存在于互联网上。深网包括任何需要输入登录凭据的网站或系统。暗网和暗网不是可以互换使用的术语。在1970年代,与ARPANET隔离的网络,比如隔离性,被称为“暗网”。除了在ARPANET网络列表中不可见,并且不响应网络查询,比如ping请求之外,它们还配置为接收外部数据。网络覆盖是放置在主网络之上的一层。它只能通过专门的浏览器或软件访问,比如那些不可全球路由的(因此称为“覆盖”)。随着术语的演变,它开始被用于覆盖网络,这些网络使用软件和硬件创建多个抽象层。覆盖网络包括Tor、隐形互联网项目和FreeNet等。
原文链接:https://blog.csdn.net/xiaoganbuaiuk/article/details/137740011
#三. 通常网络渗透的三个步骤
1.信息收集
2.外网打点
3.内网渗透
#四 基本概念
1. 信息收集
收集网站相关信息,ip,端口,服务。
2. 外网打点
针对已知信息进行漏洞测试,若存在已知漏洞,则尝试漏洞利用。
3.内网渗透
获取外网主机控制权后,利用外网主机进行域内移动,获取域控权限。
4.针对网络攻击的防御措施
WAF,即Web Application Firewall(Web应用防火墙)
一种专门设计用来保护Web应用程序免受各类攻击的安全解决方案。
通过监控、过滤和阻止潜在恶意流量,在其到达目标Web应用程序之前对其进行拦截。
TCP连接(正常情况下肯定会受防火墙的拦截)
5.钓鱼
无需漏洞,跳过外网打点过程,直接进入内网渗透环节。
针对人群为:大众。
效果:在不知情的情况点击上线后,直接获取电脑控制权
使用工具:远控。
利用远控生成的shellcode,编写Loader,进行上线
6.shellcode
无地址依赖的一串十六进制代码。(十六进制数,二进制数)
特点:在任何程序中都能实现效果。
7.Loader
能执行shellcode的可执行程序。
8.远控
远程操控电脑的程序。
9.远控连接的方式
本次使用的远控程序为TCP连接,但并不是所有的远控建立的都是TCP连接。
10.内网与外网
外网 通常我们能通过浏览器访问到的网站或网页都是建立在外网上的
内网 本地与虚拟机之间通讯的网络就是内网。(外网不能够访问,只能是同一内网环境中的机器才能相互访问)
内网主机能访问外网主机,但是外网主机不能访问内网主机
# 免杀流程
静态查杀
1.检测字符串
2.检测硬编码。十六进制字符串(恶意程序的shellcode是具备一定特征)二k。
3.特征库的规则匹配(学习。更新,二开后,其他的一些木马提取特征)
启发式查杀
检测API调用链
动态查杀
将shellcode加密 -》加密后的shellocode写入缓冲区——》将shellcode写入内存 -》shellcode解密||(进行特征库匹配)-》执行
堆加密 时间差 内存检测非常损耗资源 不可能每时每刻都在进行内存检测
电脑运行程序(执行指令)非常快(明文状态只在执行指令的时候)
未执行指令时,让shellcode保持加密状态。
将shellcode加密 -》加密后的shellocode写入缓冲区——》将shellcode写入内存 -》shellcode解密(进行特征库匹配)-》执行-》加密-》解密-》执行-》加密
强制把杀软干掉 获得System权限
通过正常手段能获取的最高权限就是管理权限
驱动!!!能获取System权限。
驱动能操作硬件的。
360下,阻止安装没有签名的驱动
给驱动整个签名
流程 :签名,安装驱动,干掉,上线
网安对抗,深度层面的对抗
内核 R0 速度对抗
# 总结
今天讲的东西不多,但是很有启发性,VMware下进行安装虚拟机并学习了网安的知识,很有收获。
1424
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
