RedTeaming_主流殺軟對抗之路-（33頁）.pdf

《RedTeaming_主流殺軟對抗之路-（33頁）.pdf》由會員分享，可在線閱讀，更多相關《RedTeaming_主流殺軟對抗之路-（33頁）.pdf（33頁珍藏版）》請在三個皮匠報告上搜索。

1、Redteaming：主流殺軟對抗之路ABOUT ME安全研究員紅隊攻防，殺軟規避研究及武器化它們。木星安全實驗室實驗室負責人CompTIA Security+CISP-PTS CISAW CISP CDPSE 紅隊作戰概覽圖研究背景紅隊攻防的必要因素殺軟檢測手段的不斷升級目錄靜態免殺靜態免殺動態免殺動態免殺自我保護自我保護Bypass之靜態免殺Shellcode加密加密IAT導入地址表導入地址表混淆編譯Shellcode加密Shellcode：16進制的機器碼。例如：殺軟查殺cobaltstrike,metasploit等知名遠控通常是通過shellcode特征匹配來進行查殺。內存加載mim

2、ikatz，通常也會將mimikatz轉為shellcode。Shellcode加密柵欄密碼加密IAT導入地址表在PE結構中，存在一個IAT導入表，導入表中聲明了這個PE文件會使用哪些API函數。定義MyAlloc函數指針 定義MyProtect函數指針IAT導入地址表動態調用IAT導入地址表未處理處理后混淆編譯ADVobfuscatorhttps:/ 啟發式掃描是通過分析指令出現的順序，或 組合情況來決定文件是否惡意。API執行鏈Api間穿插其他干擾性操作延時模擬運算使用素數計算模擬延時行為免殺測試遍歷ntdll.dll的導出函數找到操作碼。使用我們的系統調用函數。系統調用AV/EDR ho

3、okAV/EDR解決方案通常會鉤掛用戶級Windows API以便確定所執行的代碼是否為惡意代碼系統調用Windows OS體系結構系統調用HellsGate：讀取在主機上的ntdll.dll，動態找到系統調用，然后從自己的自定義實現中調用syscall。原：從內存讀取ntdll.dll，用于查找和映射系統調用?，F：從磁盤讀取ntdll.dll，用于查找和映射系統調用。系統調用HellsGate創建具有相同結構的系統調用函數。尋找syscall操作碼并將我們的自定義函數指向它們。http:/https:/ 通過設置DACL標志位，創建一個用戶權限無法 結束的進程。自我保護AdjustTokenPrivileges此函數啟用或禁用指定訪問令牌中的特權。幾乎所有需要令牌操作的特權操作都使用此API函數。RtlSetDaclSecurityDescriptor函數設置絕對格式安全描述符的DACL信息，或者如果安全描述符中已經存在DACL，則將其取代。自我保護TerminateProcess：終止指定進程及其所有的線程https:/ API函數TerminateProcess自我保護CreateremoteThread進程注入將shellcode注入到可能會帶來麻煩的進程中，在目標進程中HOOK關鍵API。自我保護測試遍歷ntdll.dll的導出函數找到操作碼。使用我們的系統調用函數。