0


红队知识学习入门(2)(安全见闻4)


声明

学习视频来自B站UP主 泷羽sec,如涉及侵泷羽sec权马上删除文章笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负

一、操作系统和驱动成

windwos:

1、防火墙

2、自启动:

自启动分为用户自启动和系统自启动。

用户自启动:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

系统自启动目录:C:\ProgramData\Microsoft\Windows\Start

我们使用win+r:输入shell:common startup查找系统自启动(针对所有用户,系统级别)

                       输入shell: startup查找的是用户自启动(只针对当前用户)

将程序拖进文件夹下即开机自启动。

3、计划任务

如果让windows开机或定时完成某项进程则打开控制面板的系统和安全界面的计划任务。

我们进行创造一个定时的任务进程。

创建一个基本的任务。自定义任务跳过。可以查询下面这位师傅的文章

Windows使用任务计划程序执行定时任务,开机自启任务,登录自启任务_创建基本任务后在哪里查看-CSDN博客

(1)点击创建基本任务后会出现创建向导

我们接下来跟着操作向导操作。

(2)选择任务出发的频率或出发的时间,也可以说满足触发条件的设置。

(3)我们选择每日出发的时间。当然我们上一步选择的是每天触发

(4)这里有三个操着,分别是启动程序

但是由于安全问题只剩下了自动程序一个选项。

(5)、选择我们启动的程序完成即可。

4、事件日志

系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。
安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于 调查人员而言,更有帮助。

除了应用程序日志、系统日志和安全日志以外,一些特殊的系统服务配置可能也会产生其他日志文件,例如Powershell日志、WWW日志、FTP日志,DNS服务器日志等。

(1)我们主要查看安全日志

查看是否有爆破、横向传递等情况,安全日志也是我们取证的重要证据

默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,

或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

日志的默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx

我们也可以根据文件id进行筛选

注意:下面这张图片是网上的截图,并不是我的计算机日志。希望大家不要做坏事

同时我们能看到一些重要字段。例如:

(1)事件ID:4624(登录成功),4625(登录失败)

(2)登录类型:根据登录类型分析操作来源

(3)账户名称和源网络地址:就是登录操作来源IP和登录操作使用的账户名。

(4)进程信息:登录操作调用的进程

(2)以下是一些常见事件ID

更多详细信息可以去网上搜到,数据太多就不截图了。可以参考下面这位师傅的文章:

【Windows日志】记录系统事件的日志-CSDN博客

5、内核驱动

在 Windows 系统中,驱动程序是一种核心的系统软件,它们负责与硬件设备进行通信和管理。Windows内核驱动是一种特殊的动态链接库(DLL),其代码以及数据在操作系统内核空间中运行。内核驱动具有比传统用户模式应用程序更高的权限,能够直接访问硬件设备,并执行特权指令。

在我这里的理解,个人认为可以把计算机比喻成一座银行,而驱动程序就是银行老板,对计算机的资源进行分配,当我们(客户)对计算机(银行)访问时,我们与驱动程序也就是银行老板进行对话,比如说我要取钱,我要存钱,那么老板就会给我办理相关手续,调用其它资源(员工)来为我服务。这也对应了内核驱动比传统用户模式程序权限更高,因为整座银行都是老板的,所以老板可以任意访问硬件设备并且对其进行执行特权指令。

重点:驱动程序主要的作用是通过操作系统提供的接口与硬件设备进行交互

6、系统服务

Windows 系统中的服务主要分为「Windows 系统服务」和「应用程序服务」

系统服务就是系统自动完成的,不需要和用户交互的过程,可长时间运行的可执行应用程序

7、进程线程

进程提供一个各种资源的容器,定义了一个地址空间作为基本的执行环境;线程是一个指令执行序列,可以直接访问进程中的资源。每个进程中至少有一个线程,线程在任一时刻必属于某个进程。

8、系统编程

开发针对Microsoft Windows操作系统的应用程序的过程

9、注册表(只有windows有,linux没有)

注册表是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。包括了软、硬件的相关配置和状态信息

regedit或者regedit.exe

二、windows的机制

1、例如一个病毒,在哪里添加自启动功能,在那里添加?有多少种方式添加?能否通过计划任务添加自启动?什么时候启动病毒?能否规避事件?

(1)常见的病毒添加自启动功能的位置和方式

注册表

1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run:此键值下的程序会在当前用户登录时自动启动。病毒可以通过修改此处来实现自启动。例如,添加一个恶意的可执行文件路径。

2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:这是系统级别的自启动项位置。在此处添加的程序会在系统启动时自动运行,无论哪个用户登录。病毒如果具有足够的权限,可以修改这个键值来达到自启动目的。

启动文件夹

1、对于当前用户,启动文件夹位于C:\Users [用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。把病毒程序的快捷方式放入此文件夹,在用户登录时,病毒程序会自动启动。

2、系统的公共启动文件夹为C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup,放入此处的程序会在系统启动时运行,适用于所有用户。

病毒可以通过复制自身到启动文件夹(或者创建自身的快捷方式放入其中)来实现自启动。这可能涉及到文件操作函数,如 Windows 下的 CopyFile 函数用于复制自身,IShellLink 接口用于创建快捷方式等。

系统服务

1、在 Windows 系统中,通过服务控制管理器(SCM)管理服务。服务相关的配置信息存储在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下。病毒可以将自身伪装成一个服务,注册到此处。

病毒会利用 Windows API 函数,如 OpenSCManager 来打开服务控制管理器,然后 CreateService 函数来创建一个新的服务,将服务的启动类型设置为自动启动(例如设置为 SERVICE_AUTO_START 类型),并将服务的执行路径指向病毒程序本身。

驱动程序

1、驱动程序文件通常位于C:\Windows\System32\drivers目录下。病毒伪装成驱动程序后,可以在此目录下添加自身文件。

病毒编写者需要了解 Windows 驱动程序开发模型(WDM)或 Windows 驱动程序基础(WDF)。通过调用相关的驱动程序开发函数,编写恶意驱动程序代码,然后利用如 DriverEntry 函数作为入口点。在安装过程中,通过诸如 Windows 的设备安装函数来安装恶意驱动,实现自启动。并且由于驱动程序在系统内核层面运行,一旦启动,很难被一般的安全机制检测和清除。

应用程序的自启动关联

1、许多应用程序本身有自启动机制。例如,一些浏览器会在系统启动时自动运行。病毒可以通过篡改这些应用程序的配置文件来实现自身的 “搭便车” 启动。对于浏览器,其配置文件可能位于用户的个人配置目录下,如 C:\Users [用户名]\AppData\Local [浏览器名称] 下的相关配置文件。

病毒可能会修改这些配置文件中的相关参数,例如添加一个指向自身的启动参数,或者替换原有的启动程序路径为自身路径。这可能涉及到对特定文件格式的解析和修改,如对于一些基于 XML 格式的配置文件,病毒需要利用 XML 解析和写入函数来操作。

通过计划任务添加自启动

计划任务是操作系统提供的一种定时执行任务的机制。在 Windows 系统中,计划任务的配置信息存储在C:\Windows\System32\Tasks目录下(不同版本可能略有不同)。病毒可以创建一个新的计划任务,设置其触发条件为系统启动时或者用户登录时,将自身作为要执行的任务。

病毒可以利用 Windows 的任务计划程序接口(如 ITaskScheduler 接口)来创建计划任务。它会指定任务的名称、执行程序路径(即病毒自身路径)、触发条件(如在系统启动时触发,对应事件 ID 为 1)等参数,从而实现自启动。

确定病毒启动时间

查看病毒藏在用户级还是系统级的自启动文件中。能确定病毒在用户登录时启动还是开机时启动

如果计算机启动遇到内存不足等问题可能会延迟病毒启动时间。

规避事件

1、行为监测规避

2、特征码检测规避

3、权限篡改和事件隐藏

4、权限绕过

防范方法:

1、我们可以用沙盒隔离病毒

2、进程监控与保护

3、及时打补丁

4、权限最小化,也是常用方法之一

5、采用时间戳方法,防止重放和篡改等,硬件时钟同步方法。

6、对时间戳的完整性检查。这样可以和时间戳进行配合,一个保障不可篡改性,一个又保证时间戳是完整未修改过的。

7、采用多重事件记录。

8、最重点:如果自身权限受到网络侵害时可以选择报警处理。无论是学习还是兴趣爱好也要保障自身权益。维护自身权益不可让步。

三、驱动程序(需要了解)

1、潜在漏洞:内网渗透,逆向工程,病毒分析,安全对抗,外挂保护。

驱动程序是一个软件组件,它允许操作系统和设备进行通信。

注意:是操作系统和设备进行通信,例如操作系统和usb连接器、打印设备等通信。

四、内核驱动,设备驱动

驱动:操控硬件,操作系统内核。

最后,制作不易,您的点赞是对我最大的支持,感谢大家点赞关注一键三连,未来我还会更新更多漏洞复现原理。


本文转载自: https://blog.csdn.net/Zeu_s/article/details/143134549
版权归原作者 网安Ruler 所有, 如有侵权,请联系我们删除。

“红队知识学习入门(2)(安全见闻4)”的评论:

还没有评论