win7x32位-(win7x32位系统)
明修棧道,暗度陳倉(cāng)是一個(gè)漢語(yǔ)成語(yǔ),是指將真實(shí)的意圖隱藏在表面的行動(dòng)背后,用明顯的行動(dòng)迷惑對(duì)方,使敵人產(chǎn)生錯(cuò)覺(jué),并忽略自己的真實(shí)意圖,從而出奇制勝。
黑客里也有這樣的技術(shù)的,在行話里叫白加黑技術(shù)。大體意思是用一個(gè)微軟簽名(或是大公司簽名)的軟件,調(diào)用黑客們寫的惡意程序,從而達(dá)到躲避殺毒軟件的目的。如果用一個(gè)更貼切的成語(yǔ)來(lái)形容,叫做借尸還魂,我嫌不好聽(tīng),所以在題目里寫成了明修棧道,暗度陳倉(cāng)。
本文給你舉一個(gè)例子吧。我們用的軟件是微軟簽名的一個(gè)小程序,下載地址在:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon。
一、測(cè)試環(huán)境的準(zhǔn)備
1、請(qǐng)下載上文的sysmon,里邊有64位版和32位版。我們只用到了32位版。在sysmon.exe的右鍵上點(diǎn)擊屬性,可以看到微軟簽名。
2、用pentestbox生成一個(gè)執(zhí)行計(jì)算器的dll,名字為wevtapi.dll。pentetsbox官網(wǎng)在https://pentestbox.org/,注意下載帶有安裝有 Metasploit 的 PentestBox。WIN10下使用,在打開(kāi)的界面里要輸入CMD一次才能正常使用。我在本頭條號(hào)上其它文章里多次提過(guò)pentestbox的下載地址以及在WIN10上使用的注意事項(xiàng)了,注意看我文章里下邊的圖。在pentestbox的界面里運(yùn)行命令:
msfvenom -p windows/exec CMD=calc.exe -f dll -o d:/wevtapi.dll
二、我們來(lái)找環(huán)境測(cè)試
準(zhǔn)備一臺(tái)WIN7x32位的機(jī)器,把你下載的sysmon.exe和生成的wevtapi.dll放在同一個(gè)目錄底下。
我們?cè)诿钚械紫逻\(yùn)行:sysmon.exe -u,計(jì)算器就會(huì)彈了出來(lái)。
三、你心中的疑惑我來(lái)給你解答一下
為什么是wevtapi.dll這個(gè)DLL名呢?我在《打開(kāi)記事本就能中木馬?微軟到現(xiàn)在都不太關(guān)心的DLL劫持漏洞》這篇文章里講解過(guò)如何來(lái)尋找這個(gè)dll名字的辦法了。你有可能會(huì)發(fā)現(xiàn)用這個(gè)辦法來(lái)尋找一些其它EXE調(diào)用的DLL名字有時(shí)并不好用,那是如何尋找的呢,再是為什么是-U參數(shù)呢,其實(shí)是反匯編分析exe得來(lái)的,這個(gè)本文就暫且不講解了,因?yàn)槲乙膊惶珪?huì),講不明白。
海陽(yáng)頂端頭條號(hào),一個(gè)認(rèn)真寫作黑客文章的創(chuàng)作者,每篇文章都是實(shí)例測(cè)試的,希望得到你的關(guān)注和喜歡。
總結(jié)
以上是生活随笔為你收集整理的win7x32位-(win7x32位系统)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 电脑bios界面怎么退出-(电脑bios
- 下一篇: u盘做系统用怎么还原u盘启动-(u盘做系