码迷,mamicode.com
首页 > 其他好文 > 详细

纪念我在乙方安全公司工作的2年_关于远控

时间:2014-11-23 11:40:22      阅读:493      评论:0      收藏:0      [点我收藏+]

标签:blog   http   使用   sp   文件   数据   on   2014   问题   

  乙方安全公司工作主要还是往外卖一些安全产品。比如做数据取证的,入侵检测的,或者往外卖硬件的IDS IPS没有实力的就买别家的产品自己贴牌,深深感受到乙方公司关系取得订单和销售的重要。我之前的公司还是做取数据的比较多。既然要拿数据一套好用的远控是必不可少的。在乙方公司的这段时间特别感谢小鱼 hack970。学到了好多东西,不管是技术上还是精神上。得到了很多鼓励。

     如果要取境外的数据的话。远控从结构上要考虑这三点。

     1  多协议穿墙。这方面就是Plug X 做的是比较好的,好像再没有看到比较出彩的。也可能是Plug X 卖的也太多了所以广为人知了。

     比方说DNS HTTP  ICMP  TCP UDP多协议封包穿墙。但是实战的时候内网渗透受网关限制的情况比较多。

     a网关有发包数量的限制,一旦超越了这个限制,便不再接受数据包的向外传输

     b内网相关的隔离,只有.3的机器允许外连出网,但是你的那个是.5的机器。但是多协议穿墙这个在做境外高端客户的时候是无法绕过的。

     2  免杀

     这里说的免杀就不是A1pass讲的那种用ccl之类的工具去定位特征码然后修改PE特征去躲杀软,而是要从根本上就要解决掉免杀问题。

     AVG Avast 小红伞 趋势 麦咖啡 nod32 Norton 卡巴斯基 熊猫卫士  安博士  基本当地地区可能出现的杀毒软件在发出去之前都要过一遍。

     大体上来说现在远控为了免杀分两种

      a dll+内存加载的形式  (这种形式就好在dll编写起来比较轻松) 然后自己写一个shellcode的内存pe loader直接把dll转成shellcode 然后alloc一块内存eip指过去就好了

       转换成shellcode之后的dll文件大体就是这样的布局。

        //-----------------------------------------------------
        //|---shellcode---|---TShellData---|---dll文件---|
        //-----------------------------------------------------

      我还是习惯用C来写shellcode,会在shellcode尾部附着一个结构,用来解决全局变量的问题。当然Delphi真心更适合写shellcode。

      b  纯shellcode的远控。这段时间抽时间又改了一版出来  shellcode的好处就是可以编码加密,免杀性好,如果没忘记ben29a病毒时代多态BPE32的话,用多态引擎处理下shellcode更是好选择。支持xp_win8.1   (x32 x64) 上图留念一下。

bubuko.com,布布扣

             

 

 

bubuko.com,布布扣  

x32 xp-win8.1

bubuko.com,布布扣

  x64  win7-win8.1

 

bubuko.com,布布扣   

 

生成的shellcode可以直接使用多态引擎处理。 在这么浮躁的年代,谁还会去认真的抠机器指令 虚拟机这些出力不叫好的东西呢。

 

3  启动项

 

纪念我在乙方安全公司工作的2年_关于远控

标签:blog   http   使用   sp   文件   数据   on   2014   问题   

原文地址:http://www.cnblogs.com/kmshhl/p/4116234.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!