电子政务门户网站建设项目招标采购,吉林整站优化,网站百度不收录的原因,百度搜索 相关网站1、第二次课程内容讲评。
服务枚举
服务的二进制的路径获取这块#xff0c;对于代理执行这种类型的服务#xff0c;枚举结果这是不正确#xff0c;#xff08;同步读取文件可能导致#xff0c;文件打开失败。服务可能带有比较高的权限#xff1b;独享式打开的时候…1、第二次课程内容讲评。
服务枚举
服务的二进制的路径获取这块对于代理执行这种类型的服务枚举结果这是不正确同步读取文件可能导致文件打开失败。服务可能带有比较高的权限独享式打开的时候非第一次打开文件的程序再次打开就会失败复制之后再计算遇到有保护的模块或者程序文件夹时带有保护驱动父进程explorer.exe,操作目标对象父进程非explorer.exe操作归属的判断。Rootkit 是在驱动层里面去获取文件内容然后再计算hash。异步处理创建一个线程去完成高负荷的计算任务条件判断检测当前计算机负荷量信号量Create/wait阻塞set子线程。
AutoRuns
AutoRuns这个工具是微软自己开发涉及自启动类的一些键的位置。自启动常用于下一次系统恢复时把软件给运行起来。ATTCK,叫做系统功能滥用abuse。这个功能本来是系统提供的但是在恶意软件使用的时候就会产生比较坏的结果存活就可以多干活。系统的自启动系统开机之后会随之运行特定键下的所有子键的可执行程序。类似powershell自启动系统启动之后判断是否达到特定的条件达到条件后再启动事先注册的程序。从安全软件的防护角度去看一是有多少位置需要关注的二是得把里面需要检查得二进制路径全部搞出来。从恶意软件得角度出发不让这个安全软件找到我的隐藏的注册表键值路径最简单的例子API HOOK 拦截不让安全软件读懂我的二进制路径最经典的例子就是数据编码base64有两类一类是现有算法一类是自定义算法。
补充程序
补充的小后门的逆向用户角度看一个是这个恶意软件在我的系统里面干了什么产生什么影响找特定文件SpywareStealer修改文件勒索软件蠕虫感染型病毒添加文件就是木马下发广告下发收集实时产生的一些信息音频视频收集系统相关的而信息收集系统特有的信息收集文档类的信息doc,docx,ppt,pptx,excel,txt,jpeg,png,pdf,md,特定的设计软件产生的文件对于我的这个主体机密丢失系统服务瘫痪等等。程序员的角度看功能点多少功能这些功能的实现细节是什么这些功能我什么时候能用检测是否该软件会多次查找杀软信息首先我得搞一个WMI_HOOKWQL语句从这个语句中寻找Anti*字段出现得一个次数来判断这个软件的意图特别是从不同的查询域画像信息该软件非常关注杀软。
2、白名单技术详解
简单的理解为数据库的一个查询的应用。本质上就是一个查表的操作。数据表里面是预先收集好的白文件信息。对于已知的文件鉴定效果非常好。一台机器上需要处理的文件一类是已知文件85%一类未知的15%。检测的时效性检测的准确性文件。 白文件的信息能描述这个文件特点的一些属性比如说文件大小文件hashmd5sha-1sha-256文件类型文件签名信息签名解析能拿到签名中的签名者签名算法签名的密钥等等 白名单采集流程预装正版的系统然后通过程序去采集该系统上的所有文件信息录入到白名单数据库中。文件的录入和删除[误报反馈机制] 白名单的查询和采集所用的程序一样的功能把目标机器上所有的文件信息采集上传依据服务端对比结果判断该文件是否为白。 白名单的迭代有新的收集上来的白文件需要入库白文件数据库中混入黑文件时需要剔除。让数据库中的数据经得住考验。 网络传输协议设计 1、client 产生结构体 struct{ CHAR hash[256]; ULONG size; CHAR versign[256]; BOOL signed; } 2、send通常会把这个传输的结构体做编码或者加密压缩把回传信息量尽可能的减少1kb1kb1w—server 3、server 检查这个结构体 1234 除了判断当前文件是否是白之外当前文件是否在数据库中是否属于疑似白文件。 4、server— client 3、木马程序结构分析 木马程序 Trojan. (基本操作网络连接连接到服务端会回传信息【敏感信息包括系统硬件相关信息用户相关的信息】商用软件上这个软件是否有名TeamView和灰鸽子这个模块是否加壳UPXVMP这个模块的文件属性隐藏文件路径临时文件加目录或者C:\User\Public\xxxxxx文件名字(乱码看不懂的)文件大小特别小99。9%) 间谍程序 Spyware. 木马程序的基本特点在此基础上有特有的功能所收集的信息具有特定属性特定类型文档红头文件机密绝密实时的信息收集音频视频商业间谍APT国家间谍。 窃密程序 Stealer. 木马程序的基本特点在此基础上有特有功能收集一些保密性质的东西普遍性只要是我就要FTPOutlook浏览器相关等这些账号密码内网机器的账号密码非对称加密的密钥文件网站服务器口令等等简单来说这个东西是个密它都要 后门程序 Backdoor.木马程序的基本特点在此基础上有特有功能有预留的可以从外内连接通道强调的是复用性和木马还有一个共同特点就是和被控端的一个交互功能文件操作数据的上下载可执行程序的运行
