win7x32位 (win7x32位系统)

明修栈道,暗度陈仓是一个汉语成语,是指将真实的意图隐藏在表面的行动背后,用明显的行动迷惑对方,使敌人产生错觉,并忽略自己的真实意图,从而出奇制胜。

黑客里也有这样的技术的,在行话里叫白加黑技术。大体意思是用一个微软签名(或是大公司签名)的软件,调用黑客们写的恶意程序,从而达到躲避杀毒软件的目的。如果用一个更贴切的成语来形容,叫做借尸还魂,我嫌不好听,所以在题目里写成了明修栈道,暗度陈仓。

本文给你举一个例子吧。我们用的软件是微软签名的一个小程序,下载地址在:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon。

一、测试环境的准备

1、请下载上文的sysmon,里边有64位版和32位版。我们只用到了32位版。在sysmon.exe的右键上点击属性,可以看到微软签名。

2、用pentestbox生成一个执行计算器的dll,名字为wevtapi.dll。pentetsbox官网在https://pentestbox.org/,注意下载带有安装有 Metasploit 的 PentestBox。WIN10下使用,在打开的界面里要输入CMD一次才能正常使用。我在本头条号上其它文章里多次提过pentestbox的下载地址以及在WIN10上使用的注意事项了,注意看我文章里下边的图。在pentestbox的界面里运行命令:

msfvenom -p windows/exec CMD=calc.exe -f dll -o d:/wevtapi.dll

二、我们来找环境测试

准备一台WIN7x32位的机器,把你下载的sysmon.exe和生成的wevtapi.dll放在同一个目录底下。

我们在命令行底下运行:sysmon.exe -u,计算器就会弹了出来。

三、你心中的疑惑我来给你解答一下

为什么是wevtapi.dll这个DLL名呢?我在《打开记事本就能中木马?微软到现在都不太关心的DLL劫持漏洞》这篇文章里讲解过如何来寻找这个dll名字的办法了。你有可能会发现用这个办法来寻找一些其它EXE调用的DLL名字有时并不好用,那是如何寻找的呢,再是为什么是-U参数呢,其实是反汇编分析exe得来的,这个本文就暂且不讲解了,因为我也不太会,讲不明白。

海阳顶端头条号,一个认真写作黑客文章的创作者,每篇文章都是实例测试的,希望得到你的关注和喜欢。




这是水淼·dedeCMS站群文章更新器的试用版本更新的文章,故有此标记(2023-12-17 08:33:54)