远控免杀技术：白名单策略详解（113个程序）

"这篇文档是关于远控免杀技术的实践总结，主要聚焦于白名单程序的使用，目的是在远程控制软件中避开安全检测。文章分为不同的类别，包括执行命令类和其他MSWindows程序，列举了共计113个可利用的程序。" 远控免杀是一种黑客技术，用于使恶意软件在目标系统上执行时能够绕过安全防护措施，特别是那些基于白名单策略的安全系统。白名单是一种安全机制，仅允许预定义的一组程序或进程运行，而阻止所有未列入白名单的程序。通过理解和利用白名单中的程序，黑客可以隐藏其恶意活动。 文章首先介绍了基础概念，讲解了远控免杀的基本原理和实践方法。接着，它深入到具体工具的总结，列出了多个可以被用于免杀的执行命令类程序： 1. **MSBuild.exe**: 微软的构建引擎，通常用于编译.NET项目，但也可以用作执行其他操作的载体。 2. **Msiexec.exe**: 安装服务接口，常用于安装和管理 MSI 包，也可被滥用执行代码。 3. **InstallUtil.exe**: .NET Framework 提供的工具，用于安装和卸载托管服务。 4. **Mshta.exe**: HTML 应用程序主机，可用于执行 HTA 文件，有时会被用来注入脚本。 5. **Rundll32.exe**: 用于加载和运行 DLL 文件中的函数，可能被用来执行恶意代码。 6. **Regsv***.exe（如 Regsvr32.exe）: 注册或注销 COM 组件，有时被滥用来加载恶意动态链接库。 7. **其他如 Cmstp.exe、Ftp.exe、Regasm.exe/Regsvcs.exe 等**：这些工具各有特定用途，但都可能被利用来绕过安全限制。 文章还提到了利用 MSWindows 系统自带的其他45个程序，包括： - **At.exe、Atbroker.exe**：计划任务工具，可以安排程序在特定时间运行。 - **Bitsadmin.exe**：后台智能传输服务，可以用于下载或上传文件。 - **Cmd.exe、Cmdkey.exe**：命令提示符和管理密钥存储，可执行命令行操作。 - **Certutil.exe**：证书和证书链实用程序，可能被用来执行命令。 - **Control.exe**：打开控制面板应用程序，可以调用系统设置。 - **其他如 Pcalua.exe、Powershell.exe、Reg.exe 等**：这些都是系统自带的强大工具，可能被滥用执行恶意操作。 通过这些程序，黑客可以巧妙地隐藏其攻击行为，使恶意代码在白名单环境中得以执行而不引起怀疑。这些知识对于网络安全专业人员来说至关重要，他们需要了解这些潜在的漏洞，以便更好地防御和检测免杀攻击。同时，对于开发安全软件的人来说，这也提供了防止此类滥用的参考。