远控免杀技术:白名单策略详解(113个程序)
需积分: 0 12 浏览量
更新于2024-07-01
1
收藏 754KB PDF 举报
"这篇文档是关于远控免杀技术的实践总结,主要聚焦于白名单程序的使用,目的是在远程控制软件中避开安全检测。文章分为不同的类别,包括执行命令类和其他MSWindows程序,列举了共计113个可利用的程序。"
远控免杀是一种黑客技术,用于使恶意软件在目标系统上执行时能够绕过安全防护措施,特别是那些基于白名单策略的安全系统。白名单是一种安全机制,仅允许预定义的一组程序或进程运行,而阻止所有未列入白名单的程序。通过理解和利用白名单中的程序,黑客可以隐藏其恶意活动。
文章首先介绍了基础概念,讲解了远控免杀的基本原理和实践方法。接着,它深入到具体工具的总结,列出了多个可以被用于免杀的执行命令类程序:
1. **MSBuild.exe**: 微软的构建引擎,通常用于编译.NET项目,但也可以用作执行其他操作的载体。
2. **Msiexec.exe**: 安装服务接口,常用于安装和管理 MSI 包,也可被滥用执行代码。
3. **InstallUtil.exe**: .NET Framework 提供的工具,用于安装和卸载托管服务。
4. **Mshta.exe**: HTML 应用程序主机,可用于执行 HTA 文件,有时会被用来注入脚本。
5. **Rundll32.exe**: 用于加载和运行 DLL 文件中的函数,可能被用来执行恶意代码。
6. **Regsv***.exe(如 Regsvr32.exe): 注册或注销 COM 组件,有时被滥用来加载恶意动态链接库。
7. **其他如 Cmstp.exe、Ftp.exe、Regasm.exe/Regsvcs.exe 等**:这些工具各有特定用途,但都可能被利用来绕过安全限制。
文章还提到了利用 MSWindows 系统自带的其他45个程序,包括:
- **At.exe、Atbroker.exe**:计划任务工具,可以安排程序在特定时间运行。
- **Bitsadmin.exe**:后台智能传输服务,可以用于下载或上传文件。
- **Cmd.exe、Cmdkey.exe**:命令提示符和管理密钥存储,可执行命令行操作。
- **Certutil.exe**:证书和证书链实用程序,可能被用来执行命令。
- **Control.exe**:打开控制面板应用程序,可以调用系统设置。
- **其他如 Pcalua.exe、Powershell.exe、Reg.exe 等**:这些都是系统自带的强大工具,可能被滥用执行恶意操作。
通过这些程序,黑客可以巧妙地隐藏其攻击行为,使恶意代码在白名单环境中得以执行而不引起怀疑。这些知识对于网络安全专业人员来说至关重要,他们需要了解这些潜在的漏洞,以便更好地防御和检测免杀攻击。同时,对于开发安全软件的人来说,这也提供了防止此类滥用的参考。
2022-08-03 上传
2023-11-17 上传
2023-05-10 上传
2024-01-05 上传
2024-05-12 上传
2023-09-02 上传
2023-10-22 上传
洋葱庄
- 粉丝: 21
- 资源: 311
最新资源
- 新型智能电加热器:触摸感应与自动温控技术
- 社区物流信息管理系统的毕业设计实现
- VB门诊管理系统设计与实现(附论文与源代码)
- 剪叉式高空作业平台稳定性研究与创新设计
- DAMA CDGA考试必备:真题模拟及章节重点解析
- TaskExplorer:全新升级的系统监控与任务管理工具
- 新型碎纸机进纸间隙调整技术解析
- 有腿移动机器人动作教学与技术存储介质的研究
- 基于遗传算法优化的RBF神经网络分析工具
- Visual Basic入门教程完整版PDF下载
- 海洋岸滩保洁与垃圾清运服务招标文件公示
- 触摸屏测量仪器与粘度测定方法
- PSO多目标优化问题求解代码详解
- 有机硅组合物及差异剥离纸或膜技术分析
- Win10快速关机技巧:去除关机阻止功能
- 创新打印机设计:速释打印头与压纸辊安装拆卸便捷性