7.13生产实习日志
7.13生产实习日志
一、免杀技术初阶介绍
1. 网络结构
表层网络 (Surface Web)
- 占比:4%
- 例子:Google, Bing, Wikipedia
深网 (Deep Web)
- 占比:90%
- 描述:不被表层网络爬虫访问
- 内容:医疗记录、法律文件、科学报告、订阅信息、竞争者网站、学术信息、多语言数据库、财务记录、政府资源、组织特定报告
暗网 (Dark Web)
- 占比:6%
- 描述:通过特定浏览器(如TOR)访问
- 内容:毒品贩卖、私人通信、政治抗议、非法信息、TOR 加密网站
2. 产业分类
白色产业:正规产业 灰色产业:介于黑白之间 黑色产业:被抓100%进入
重要声明: 本次实训内容与技术仅用于学习与测试,切勿用于非法用途,否则后果自负。
3. 网络安全中的代码应用
基于 Python:爬虫,脚本 基于 Java:代码审计,构造恶意 POC,挖掘逻辑漏洞 基于 C:挖掘二进制漏洞,杀毒软件绕过,病毒编写
4. 实训最终项目目标
- 免杀火绒安全软件连接远控
- 免杀 Windows Defender 连接远控
- 免杀 360 安全软件连接远控
- 卡巴斯基:全国范围内的一线
5. 网络渗透步骤
- 信息收集:收集网站相关信息,IP,端口,服务。
- 外网打点:针对已知信息进行漏洞测试,若存在已知漏洞则尝试漏洞利用。
- 内网渗透:获取外网主机控制权后,利用外网主机进行域内移动,获取域控权限。
6. 防御措施
**WAF (Web Application Firewall)**:保护 Web 应用程序免受攻击,通过监控、过滤和阻止潜在恶意流量进行拦截。
TCP 连接:通常情况下会受防火墙拦截。
7. 钓鱼攻击
方法:无需漏洞,跳过外网打点过程,直接进入内网渗透环节。 效果:在不知情的情况下点击上线后,直接获取电脑控制权。
8. 常见术语
- Shellcode:无地址依赖的一串十六进制代码。
- Loader:能执行 shellcode 的可执行程序。
- 远控:远程操控电脑的程序。
9. 内外网区别
- 外网:通过浏览器访问的网站或网页。
- 内网:本地与虚拟机之间通讯的网络,仅在同一内网环境中访问。
10. 免杀流程
- 了解杀毒软件查杀规则
- 针对查杀手段进行规避与绕过
- 静态查杀:检测字符串、硬编码、特征库规则匹配
- 动态查杀:内存检测,将 shellcode 加密、写入缓冲区、解密、执行等。
强制杀软干掉:获取 System 权限,安装签名驱动等方式。
二、虚拟机安装
由于课程的相关软件可能会破坏主机的安全性,因此利用虚拟机进行相关操作
安装流程
安装VMware虚拟机
下载Windows10专业版镜像文件
在VMware中进行配置安装
安装VMware Tools
三、心得体会
在这次课程中,我学习了网络安全的基础知识和实战技能。我了解了网络结构的不同层次,包括表层网络、深网和暗网及其各自的特点和内容。我掌握了不同编程语言在网络安全中的应用,例如Python用于爬虫和脚本,Java用于代码审计和漏洞挖掘,C用于二进制漏洞挖掘和病毒编写。
学会了网络渗透的三个主要步骤:信息收集、外网打点和内网渗透。通过信息收集,我能够获取网站的相关信息如IP、端口和服务;在外网打点阶段,可以进行漏洞测试和利用;在内网渗透阶段,如何获取外网主机的控制权并进行域内移动,最终获取域控权限。
还学习了钓鱼攻击的方法和效果,以及如何利用远控程序进行内网渗透。此外,我了解了WAF(Web应用防火墙)的防御措施,如何通过监控、过滤和阻止潜在恶意流量来保护Web应用程序。
最重要的是,我明白了这些技术和知识仅用于学习和测试,任何非法使用都会导致严重后果。
