之前我做过很多的方式来进行bypass各种杀软,其中侧重于node32和卡巴斯基的查杀方式进行了很久的研究,同样我觉得就目前来说也算是顶流的存在,不过还是发现一些很简单的一些绕过,居然同样不能查杀。
目前来说的防护手段
攻击的手段不断变化,也就意味这带动了防护手段的升级,不然怎么能称为对抗呢?
就目前来说,防护手段可以分为两个方面:
其一:主机PC端的防护
其二:综合性检测设备
主机PC端的防护主要是杀软或者一些Agent,这里是软件集成到系统中,针对系统的异常进程,异常操作进行针对性的防护
综合性检测设备,之前也是一些软件类的防护,不过这类的防护其实做得很不好,很容易就能绕过,之后出现了硬件的设备,这类设备会针对流量进行检测,主要是匹配规则,C2特征,敏感信息监测的一种集成设备,大多数都是旁挂在出口的地方,针对这类的设备,目前的做法就是匹配规则的绕过,流量的二次加密
PC端的防护
这类的防护,之前我测试了众多的主流的杀软,不好综合性的评判,只能说各种优势。
国内:国内的杀软针对Ring3段的侧重点比较好,希望以后深入到内核
国外:国外的杀软主要不是针对Ring3,这类杀软针对用户的一些正常操作不会进行拦截,这些的侧重点放在类更底层的hook,相对来说进行的误操作比率更低。
主题
然后本次针对的是主机防护,本篇也是针对我添加的插件测试的:
我也不想分开测试了,就合在一起吧,本插件经过卡巴斯基、windows defender测试通过,这是针对hw实战中遇到的杀软进行测试的:
方式或者方法
测试过程中,发现数字杀软和之前又添加了新的特性,基于命令参数的特征字符进行检测,之前本人测试的时候未发现这个问题,正好后续可以更改,运行全程无任何拦截,可以之接Dump浏览器,winscp,FileZilla的证书,也可使用mimikatz直接dump内存密码,无需再次担心不免杀等问题了。
希望对大家有所帮助。
长按关注我们吧
原文始发于微信公众号(bytecode11):信息收集插件-bypass
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论