常见的几种Windows后门耐久化方法
|
在Meterpreter下可以运行run metsvc将会在方针主机上以Meterpreter的处事的情势注册在处事列表中,并开机自动自动: Windows处事端处事注册乐成: dll挟制 假如在历程实行加载一个DLL时没有指定DLL的绝对路径,那么Windows会实行去指定的目次下查找这个DLL;假如进攻者可以或许节制个中的某一 个目次,而且放一个恶意的DLL文件到这个目次下,这个恶意的DLL便会被历程所加载,从而造成代码执行。 较量常用的如LPK.dll的挟制: win7及win7以上体系增进了KnownDLLs掩护,必要在注册表:
下添加 “lpk.dll” 才气顺遂挟制: 其它一种思绪是通过查察被挟制的DLL的导出函数表,编程实现挟制DLL向原DLL的导出函数的转发,并插手你的恶意代码到达一个挟制的结果。 COM挟制 首要通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator挟制,而体系许多正常措施启动时必要挪用这两个实例,以是,这就可以用作后门来行使,而且,该要领也可以或许绕过Autoruns对启动项的检测。 传送门如下: https://www.gdatasoftware.com/blog/2014/10/23941-com-object-hijacking-the-discreet-way-of-persistence Powershell版本的poc:https://github.com/3gstudent/COM-Object-hijacking Bootkit MBR后门首要的思绪是读取主引导记录和把分区表从主引导记录中复制出来。然后把本身的包括恶意二进制数据的主引导记录放到主引导扇区,并复制新的分区表到它。可是,并非只有分区表必要保存,尚有原本的主引导记录也必要生涯下来,MBR病毒复制原始主引导记录到其余64个未用到的扇区。到MBR病毒执行完本身的操纵后在读取原始的主引导记录并跳到0x7c00处执行来引导开机。今朝较量风行的好比暗云木马系列: 具体可参考腾讯的研究陈诉: https://slab.qq.com/news/tech/1308.html 通过PCHunter也可以或许举办简朴的MBR的非常判定,此类后门每每具有较大的实验难度病毒种类每每也较少。 总结 Windows情形的耐久化尚有更多霸气侧漏的姿势没有碰见总结到,相对付之前成立潜匿账户、网站跟目次下的webshell、一个后门的exe措施、按时使命这些伎俩一些更新的伎俩显得越发潜伏与难以查杀,但愿能给一般背锅的运维、安详应急、开拓大佬与首席致歉师在客户现场搞的焦头烂额时辰提供一些排查思绪吧。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
