7月13日实习日志

最新推荐文章于 2024-11-16 14:44:01 发布

计212郑强

最新推荐文章于 2024-11-16 14:44:01 发布

阅读量669

点赞数 25

文章标签： web安全安全

本文链接：https://blog.csdn.net/z13104272065/article/details/140417415

版权

一、目前我们所接触到的网络

1. 表层网络 (Surface Web)

表层网络是指那些可以直接在万维网上浏览，并能被传统搜索引擎找到的网络内容。

占比：4%
- 例子
：
- Google
- Bing
- Wikipedia

2.深网 (Deep Web)

深网（Deep Web）是指互联网上不能被标准搜索引擎索引的非表面网络内容。深网包含了大量隐藏的信息，这些信息通常需要通过动态请求生成的网页才能访问，而标准的搜索引擎无法查找到这些内容。这使得深网在信息的丰富性和容量上远远超过表层网络

占比：90%
- 内容
：
- 医疗记录 (Medical Records)
- 法律文件 (Legal Documents)
- 科学报告 (Scientific Reports)
- 订阅信息 (Subscription Information)
- 竞争者网站 (Competitor Websites)
- 学术信息 (Academic Information)
- 多语言数据库 (Multilingual Databases)
- 财务记录 (Financial Records)
- 政府资源 (Government Resources)
- 组织特定报告 (Organisation-specific Reports)

3.暗网 (Dark Web)

暗网（Dark Web）是深网（Deep Web）的一个子集，它是指那些被刻意隐藏起来，通常无法通过常规搜索引擎访问的网络空间。

占比：6%
- 内容
：
- 毒品贩卖 (Drug Trafficking)
- 私人通信 (Private Communications)
- 政治抗议 (Political Protests)
- 非法信息 (Illegal Information)
- TOR 加密网站 (TOR Encrypted sites)

二、网络渗透

1.信息收集

收集IP地址、域名、开放端口和运行的服务等信息。

2.外网打点

针对已知信息进行漏洞测试，若存在已知漏洞，则尝试漏洞利用。外网打点是网络安全中的一种渗透测试方法，主要目的是通过获取外部网络中一台机器的控制权，进而对内网进行深入渗透和探索。外网打点的基本认识在于拿到一个机器的控制权，并利用这台机器作为跳板进入内网。

3.内网渗透

获取外网主机控制权后，利用外网主机进行域内移动，获取域控权限。

4.钓鱼

在网络安全领域，钓鱼是指一种网络诈骗行为。攻击者通过伪装成可信实体的电子邮件或网站，诱使用户透露敏感信息或进行恶意软件下载。这种攻击方式因其成本低、效果显著而被广泛使用。

三、内网与外网

1.内网

内网，也称为局域网（LAN），是指在单一地理位置内，如学校、办公室或家庭等，由网络设备连接而成的网络系统。内网的主要特征包括：

私有IP地址：内网中的设备通常使用私有IP地址空间，如192.168.x.x、10.x.x.x或172.16.x.x等。
局部范围：内网的作用范围通常局限于一个相对较小的地理区域。
内部通信：内网内的设备可以相互通信，共享资源，如文件、打印机等。
通过网关访问外部网络：内网用户需通过网关（如路由器）才能访问外部网络（互联网）。

总的来说，内网为内部用户提供了方便的信息共享和通信平台，但同时需要注意网络安全，防止潜在的网络威胁。

2.外网

外网，也称为广域网（WAN），是连接多个地理位置的网络系统，覆盖范围广泛，可以跨越城市、国家甚至大洲。外网的主要特征包括：

公共IP地址：外网中的设备使用公共IP地址，这些地址在互联网中是唯一的，可以在世界各地被访问。
广泛的地理覆盖：外网的覆盖范围非常广，可以连接世界各地的用户和设备。
多样化的连接方式：外网的连接方式包括有线连接（如光纤、铜缆）和无线连接（如卫星通信、移动通信）。
互联网访问：外网是互联网的基础，使得全球范围内的用户能够相互访问和共享信息。

总的来说，外网是连接不同地理位置的网络系统，为全球通信和信息共享提供了基础设施。

四、免杀流程

了解杀毒软件的查杀规则

针对查杀手段进行规避与绕过

1.静态查杀

静态查杀是一种通过扫描文件的静态特征来识别和清除恶意软件的方法。

它主要依赖于匹配已知的病毒特征码，例如特定字符串或字节序列，以确定文件是否恶意。这种方法因其高效性和广泛适用性，在杀毒软件中被普遍采用。为了更好地理解静态查杀，下面从其定义、工作原理、实际应用及挑战等方面进行详细分析：

静态查杀的定义和原理
- 静态特征分析：静态查杀的核心在于分析文件的静态特征，这些特征包括文件中的特定字符串、字节序列等。这些特征在文件中是固定不变的，因此称为“静态”。
- 病毒特征库比对：杀毒软件会建立一个庞大的病毒特征数据库，包含已知病毒的特征码。当新文件被扫描时，其特征码会与数据库中的记录进行比较，以决定文件是否恶意。
静态查杀的工作流程
- 文件扫描：当文件被放入杀毒扫描队列时，杀毒软件会先对其执行静态扫描。这一过程包括读取文件的每一个字节，并提取关键特征。
- 特征提取与比对：杀毒软件会将提取到的文件特征码与病毒特征库进行对比。如果找到匹配的特征，文件就会被标记为可疑或恶意。
静态查杀的实际应用案例
- Mimikatz免杀处理：在渗透测试中，工具如Mimikatz常被安全人员用于测试内网安全性。然而，这些工具也被杀毒软件标记为恶意。为了使其免于静态查杀，可以修改其特征码，例如源码中的注释和自定义字符串，从而避开杀软的检测。
- ClamAV开源杀毒软件：通过编写自定义规则，可以使用开源杀毒软件ClamAV来识别和查杀具有特定静态特征的文件。这些规则可以根据文件内容中的特定函数或字符串来制定。
静态查杀的挑战和局限性
- 加壳技术：恶意软件作者使用加壳技术对恶意程序进行加密和混淆，使其在静态扫描时看起来与正常文件无异，从而逃避查杀。
- 特征码不断更新：随着恶意软件变种的增加，杀毒软件需要不断更新特征库。然而，新出现的恶意文件可能无法即时被识别，导致查杀效果有限。
绕过静态查杀的方法
- 文件加密与动态加载：通过使用工具将可执行文件转换为shellcode并加密，可以在静态查杀过程中隐藏其真实特征。运行时通过自定义加载器解密并加载，从而实现免杀效果。
- 利用加载器隐藏行为：加载器可以将加密或转换后的程序临时解密并执行，避免在磁盘上留下被静态查杀的特征。这样，即使文件在静态扫描期间显示为安全，也能在执行时保持功能。

综上所述，静态查杀作为最基础且广泛应用的恶意软件检测方法，尽管面临诸多挑战和绕过技术，但仍是杀毒软件不可或缺的一部分。为了提高检测率，建议安全研究人员和软件开发者不断更新特征库，并结合其他查杀手段（如动态查杀和行为分析）来提升整体安全防护效果。对于渗透测试人员，理解和掌握静态查杀的原理和绕过方法，有助于在实际工作中更好地规避安全产品检测。

2.动态查杀

动态查杀是一种在文件运行时或即将运行时进行监控和分析的恶意软件检测方法。

它能够通过监测程序的行为特征，如API调用、内存操作等，来确定该程序是否具有恶意行为。动态查杀由于其深入分析程序行为的能力，已成为杀毒软件中重要的一环。以下是对动态查杀的详细介绍：

动态查杀的工作原理
- 实时监控：动态查杀主要依赖于实时监控系统运行状况，例如正在运行的程序和进程。
- 敏感行为检测：动态查杀会监控敏感行为，如调用敏感API、内存中出现的特定字符串或者评分制等。
- 启发式分析：通过动态启发式技术，可以在虚拟环境中执行程序，并监控其行为，从而判断是否为恶意代码。
动态查杀的应用场景
- 渗透测试：在渗透测试中，攻击者可能使用一些被标记为恶意的工具。为了绕过安全软件的静态查杀，攻击者会尝试使用动态查杀绕过技术。
- 恶意软件分析：安全研究人员会使用动态查杀技术来分析可疑文件的行为，从而判断其是否具有恶意性质。
- 杀毒软件更新：随着恶意软件不断更新和变种，动态查杀能够识别并处理未知的恶意软件，提高杀毒软件的检测能力。
动态查杀的技术实现
- 内存扫描：动态查杀会对加载到内存中的程序进行扫描，脱去其外壳，并在还原为真实数据后进行查杀。
- 沙盒模拟：利用沙盒技术，模拟计算机环境执行目标文件，再观察其特征行为，从而判断是否恶意。
- 行为分析：通过监控程序的文件操作、注册表操作、网络操作等行为，综合判断其是否为病毒木马。
动态查杀的挑战与局限性
- 加密与混淆：恶意软件通过加密和混淆技术，使得动态查杀在分析时难以识别其真实行为。
- 加壳技术：使用加壳技术可以在一定程度上绕过动态查杀，因为加壳后的恶意软件在运行时会脱去外壳，改变其行为特征。
- 实时性要求：动态查杀需要实时监控程序行为，对系统性能和资源消耗较大，可能会影响用户的正常使用。
绕过动态查杀的方法
- 二次加密：通过使用工具如pe2shc将可执行文件转换为shellcode并进行二次加密，可以在一定程度上绕过动态查杀。
- 自定义加载器：使用加载器将藏在资源里的加密文件加载进内存，并动态解密后启动，以躲避动态查杀的检测。
- 行为伪装：通过白名单调用这些敏感行为，再导入恶意内容，可以在一定程度上规避动态查杀的检测。

综上所述，动态查杀作为检测恶意软件的重要手段，能够有效识别和阻止恶意行为。然而，随着技术的不断进步，攻击者也在不断研究如何绕过动态查杀。因此，建议安全研究人员和软件开发者不断更新和改进动态查杀技术，同时结合其他检测手段，如静态查杀和行为分析，以提升整体安全防护效果。对于渗透测试人员和安全工程师，深入了解动态查杀的原理和绕过方法，有助于在实际工作中更好地规避安全产品检测。

3.强制手段

System权限通过正常手段能获取的最高权限就是管理权限驱动！！！能获取System权限。驱动能操作硬件的。360下，阻止安装没有签名的驱动，给驱动整个签名，签名，安装驱动，干掉，上线对抗，深度层面的对抗。WIndows界面的时候会加载驱动，Windows提供一个启动方式（安全模式启动），安全模式-》只会加载必要驱动，手动找到木马文件，并删除。