• 第二次授课内容


    1、第二次课程内容讲评。

    服务枚举

    服务的二进制的路径获取这块,对于代理执行这种类型的服务,枚举结果这是不正确,(同步读取文件可能导致,文件打开失败。服务可能带有比较高的权限;独享式打开的时候,非第一次打开文件的程序再次打开就会失败;复制之后再计算,遇到有保护的模块或者程序文件夹时,带有保护驱动,父进程:explorer.exe,操作目标对象,父进程非explorer.exe,操作归属的判断。Rootkit ,是在驱动层里面去获取文件内容,然后再计算hash。异步处理,创建一个线程去完成高负荷的计算任务,条件判断,检测当前计算机负荷量,信号量,Create/wait(阻塞),set(子线程)。)

    AutoRuns

    AutoRuns,这个工具是微软自己开发,涉及自启动类的一些键的位置。自启动常用于下一次系统恢复时,把软件给运行起来。ATT&CK,叫做系统功能滥用(abuse)。这个功能本来是系统提供的,但是在恶意软件使用的时候,就会产生比较坏的结果,存活就可以多干活。系统的自启动:系统开机之后会随之运行特定键下的所有子键的可执行程序。类似powershell自启动:系统启动之后,判断是否达到特定的条件,达到条件后再启动事先注册的程序。从安全软件的防护角度去看,一是有多少位置,需要关注的,二是,得把里面需要检查得二进制路径全部搞出来。从恶意软件得角度出发,不让这个安全软件找到我的隐藏的注册表键值路径,最简单的例子,API HOOK 拦截;不让安全软件读懂我的二进制路径,最经典的例子,就是数据编码base64,有两类:一类是现有算法,一类是自定义算法。

    补充程序

    补充的小后门的逆向,用户角度看,一个是这个恶意软件在我的系统里面干了什么,产生什么影响;(找特定文件:Spyware,Stealer;修改文件:勒索软件,蠕虫,感染型病毒;添加文件:就是木马下发,广告下发;收集实时产生的一些信息:音频,视频;收集系统相关的而信息,收集系统特有的信息,收集文档类的信息(doc,docx,ppt,pptx,excel,txt,jpeg,png,pdf,md,特定的设计软件产生的文件)),(对于我的这个主体,机密丢失,系统服务瘫痪等等)。程序员的角度看:功能点,多少功能,这些功能的实现细节是什么,这些功能我什么时候能用;检测是否该软件会多次查找杀软信息:首先我得搞一个WMI_HOOK,WQL语句,从这个语句中,寻找Anti*字段,出现得一个次数来判断这个软件的意图,特别是从不同的查询域,画像信息:该软件非常关注杀软。

    2、白名单技术详解

    简单的理解为:数据库的一个查询的应用。本质上就是一个查表的操作。数据表里面是预先收集好的白文件信息。对于已知的文件鉴定效果非常好。一台机器上需要处理的文件:一类是已知文件(85%),一类未知的(15%)。检测的时效性,检测的准确性文件。
    白文件的信息:能描述这个文件特点的一些属性,比如说:文件大小,文件hash(md5,sha-1,sha-256),文件类型,文件签名信息(签名解析,能拿到签名中的签名者,签名算法,签名的密钥等等);
    白名单采集流程:预装正版的系统,然后通过程序去采集该系统上的所有文件信息,录入到白名单数据库中。(文件的录入和删除[误报反馈机制])
    白名单的查询:和采集所用的程序一样的功能,把目标机器上所有的文件信息采集上传,依据服务端对比结果,判断该文件是否为白。
    白名单的迭代:有新的收集上来的白文件,需要入库;白文件数据库中混入黑文件时,需要剔除。让数据库中的数据,经得住考验。
    网络传输协议设计:

    1、client 产生结构体: struct{ CHAR hash[256]; ULONG size; CHAR
    versign[256]; BOOL signed; }

    2、send(通常会把这个传输的结构体做编码或者加密,压缩,把回传信息量尽可能的减少,1kb,1kb,1w)—>server

    3、server 检查这个结构体 1,2,3,4 ,除了判断当前文件是否是白之外,当前文件是否在数据库中,是否属于疑似白文件。

    4、server—> client

    3、木马程序结构分析

    木马程序 Trojan.
    (基本操作:网络连接,连接到服务端;会回传信息【敏感信息:包括系统硬件相关信息,用户相关的信息】,商用软件上,这个软件是否有名;TeamView和灰鸽子,这个模块是否加壳,UPX,VMP,这个模块的文件属性(隐藏),文件路径(临时文件加目录,或者C:\User\Public\xxxxxx),文件名字(乱码,看不懂的),文件大小(特别小99。9%))

    间谍程序 Spyware.
    (木马程序的基本特点,在此基础上,有特有的功能:所收集的信息具有特定属性,特定类型文档,红头文件,机密,绝密,实时的信息收集:音频,视频,)商业间谍,APT国家间谍。

    窃密程序 Stealer.
    (木马程序的基本特点,在此基础上,有特有功能,收集一些保密性质的东西,普遍性,只要是我就要,FTP,Outlook,浏览器相关等这些账号密码,内网机器的账号密码,非对称加密的密钥文件,网站服务器口令等等,简单来说,这个东西是个密,它都要)

    后门程序
    Backdoor.(木马程序的基本特点,在此基础上,有特有功能,有预留的可以从外内连接通道,强调的是复用性,和木马还有一个共同特点就是:和被控端的一个交互功能,文件操作,数据的上下载,可执行程序的运行)

  • 相关阅读:
    编码规范、git 规范
    数据结构——散列表
    Kubernetes中Pod容器的使用
    《痞子衡嵌入式半月刊》 第 51 期
    基于Springboot+vue的停车场管理系统(Java毕业设计)
    prettytable:一款像数据库一样可完美格式化输出的 Python 库
    如何理解电商云仓出租?
    TypeScript学习笔记
    Python数据分析-matplotlib
    理解 React 中的 useEffect、useMemo 与 useCallback
  • 原文地址:https://blog.csdn.net/m0_72827793/article/details/134499632