Tide安全团队分享:免杀Mshta.exe执行payload技术分析
需积分: 0 123 浏览量
更新于2024-08-05
收藏 4.52MB PDF 举报
"37.远控免杀专题(37)-白名单Mshta.exe执行payload(VT免杀率26-58)1"
本文主要探讨的是如何在网络安全防御环境中,利用白名单机制中的Mshta.exe来执行payload,从而实现远程控制的免杀技术。Mshta.exe是Microsoft Windows操作系统中的一个组件,通常用于执行HTML应用程序,它在某些情况下可能被恶意攻击者利用以绕过反病毒软件的检测。
Tide安全团队是一支专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等多个领域的专业团队,他们致力于分享高质量的原创文章和安全工具,同时也研发了多套开源安全平台,如网络空间搜索平台、移动端安全管控平台等。此外,团队成员在各大安全社区活跃,分享研究成果和经验。
在免杀技术中,文章提到了一个关键点:使用Mshta.exe执行payload可以降低被反病毒软件检测到的风险。文章中提到的免杀能力一览表显示,通过特定的方法,可以在一些杀毒软件中成功避免被检测为病毒。例如,测试使用了Metasploit框架的`windows/meterpreter/reverse_tcp`模块生成payload,并且在360全家桶和火绒这两款常见的杀毒软件中进行了静态和动态查杀的测试。
尽管测试结果表明某些payload在特定杀毒软件中未被检测,但在Virustotal.com上的在线查杀结果显示,免杀率在26%至58%之间,这意味着并非所有杀毒引擎都无法检测到这些技术。这表明虽然Mshta.exe可以作为免杀手段,但并不是一种完全可靠的逃避检测策略。
文章强调,所涉及的技术、思路和工具仅适用于合法的安全研究和学习,禁止用于非法活动或盈利目的。用户需自行承担不当使用可能导致的后果。为了方便读者,文章提供了相关的软件下载链接和打包资料,以便于深入研究和实践。
总结来说,这篇内容详细介绍了如何利用Mshta.exe进行远程控制payload的免杀技术,并提供了Tide安全团队的相关研究成果和学习资源。然而,这种技术的使用必须遵循合法性和道德原则,不得用于违法行为。
2022-08-03 上传
2022-08-03 上传
2021-09-15 上传
2020-09-06 上传
2021-05-13 上传
俞林鑫
- 粉丝: 20
- 资源: 288
最新资源
- ES管理利器:ES Head工具详解
- Layui前端UI框架压缩包:轻量级的Web界面构建利器
- WPF 字体布局问题解决方法与应用案例
- 响应式网页布局教程:CSS实现全平台适配
- Windows平台Elasticsearch 8.10.2版发布
- ICEY开源小程序:定时显示极限值提醒
- MATLAB条形图绘制指南:从入门到进阶技巧全解析
- WPF实现任务管理器进程分组逻辑教程解析
- C#编程实现显卡硬件信息的获取方法
- 前端世界核心-HTML+CSS+JS团队服务网页模板开发
- 精选SQL面试题大汇总
- Nacos Server 1.2.1在Linux系统的安装包介绍
- 易语言MySQL支持库3.0#0版全新升级与使用指南
- 快乐足球响应式网页模板:前端开发全技能秘籍
- OpenEuler4.19内核发布:国产操作系统的里程碑
- Boyue Zheng的LeetCode Python解答集