Windows持久化控制攻防實踐
劉曉陽、李柏翰
相關主題
商品描述
"本書專註於Windows操作系統持久化控制技術,旨在幫助讀者深入地理解並掌握Windows環境中的持久化方法和防禦策略。本書不僅涵蓋了基礎的持久化原理,還詳細地講解了多種先進的持久化技術及其相應的防禦措施, 全書共10章。第1章詳細講述Windows基礎知識,包括權限劃分、註冊表及常用工具。第2章重點介紹常見的Windows攻防技術,例如,開機自啟動目錄、PowerShell自啟動配置文件、註冊表自啟動、登錄腳本和屏幕保護自啟動等。第3章主要講解DLL劫持的原理和實現方法,以及檢測和防禦DLL劫持技術的實踐操作。第4章深入分析COM劫持技術,講解COM劫持的工作原理,並展示如何實現COM劫持和相關的檢測防禦方法。第5章闡述計劃任務在Windows系統中的應用,介紹如何通過計劃任務實現持久化控制。第6章講解服務持久化技術,包括Windows服務的基本原理、如何利用服務實現持久化控制及相應的攻防技術。第7章重點介WMI持久化技術,分析WMI的工作原理並探討如何通過WMI實現持久化控制和防禦措施。第8章深入討論高級DLL持久化技術,包括AppCert DLL、AppInit DLL和Netsh Helper DLL等原理、實現方法及其防禦策略。第9章主要介紹Windows註冊表持久化控制的高級技巧,包括IFEO、Winlogon、Time Providers和Port Monitors等註冊表持久化方法,並提供相應的攻防案例。第10章著重講解LSA持久化技術,包括基於LSA認證包、安全包、通知包所實現的持久化控制。 本書內容夯實、實踐性強,既適合入門級技術人員學習Windows持久化的基本概念,也適合有一定經驗的安全專家用於深入分析和研究。通過閱讀本書,讀者將能夠系統地了解Windows持久化控制技術及其防禦手段,提升自己在Windows環境中的安全防護能力。 " 本書內容夯實、實踐性強,既適合入門級技術人員學習Windows持久化的基本概念,也適合有一定經驗的安全專家用於深入分析和研究。通過本書,讀者將能夠系統地了解Windows持久化控制技術及其防禦手段,提升自己在Windows環境中的安全防護能力。
作者簡介
劉曉陽,多年來一直從事網絡安全方面的教學和研究工作。在網絡滲透測試方面有十分豐富的實踐經驗,擅長對企業內網的滲透測試、開發紅隊安全工具的相關技術。已出版《惡意代碼逆向分析基礎詳解》等計算機網絡安全圖書。
目錄大綱
目錄
本書源碼
第1章Windows基礎知識
1.1用戶權限
1.1.1管理用戶賬號
1.1.2遠程登錄連接
1.2命令提示符
1.2.1執行系統命令
1.2.2部署後門賬戶
1.3註冊表
1.3.1鍵值結構
1.3.2管理RDP
1.3.3克隆賬戶
1.4入門PowerShell
1.4.1PowerShell命令
1.4.2PowerShell腳本
1.5文件權限
1.5.1NTFS基礎
1.5.2管理權限
1.6常用工具
1.6.1Sysinternals工具箱
1.6.2Autoruns檢測自啟動項目
1.6.3Process Explorer檢測惡意進程
1.6.4Process Monitor監控進程行為
1.6.5System Informer查看進程
第2章常見的持久化控制技術
2.1構建測試程序
2.2開機自啟動目錄
2.2.1開機自啟動目錄的原理
2.2.2檢測和清除開機自啟動目錄
2.3PowerShell配置文件
2.3.1PowerShell自啟動文件的原理
2.3.2檢測和清除PowerShell自啟動文件
2.4自啟動註冊表
2.4.1自啟動註冊表的原理
2.4.2檢測和清除自啟動註冊表
2.5自啟動登錄腳本
2.5.1登錄腳本啟動原理
2.5.2檢測和清除自啟動登錄腳本
2.6屏幕保護自啟動
2.6.1屏幕保護自啟動原理
2.6.2檢測和清除屏幕保護自啟動
第3章通過DLL劫持實現持久化控制
3.1初識DLL
3.1.1編寫第1個DLL文件
3.1.2Windows DLL加載機制
3.1.3DLL劫持的基本原理
3.2實踐: 劫持ChatBox實現持久化控制
3.2.1分析ChatBox軟件中的DLL依賴
3.2.2基於msfvenom生成DLL文件
3.2.3獲取反彈Shell實現持久化控制
3.3檢測與防禦DLL劫持
3.3.1檢測DLL劫持的方法
3.3.2防禦DLL劫持的策略
第4章通過COM劫持實現持久化控制
4.1COM劫持的基本原理
4.2構建COM劫持實驗環境
4.2.1編寫COM組件
4.2.2註冊COM組件
4.2.3調用COM組件
4.3實現COM劫持的方法
4.4檢測COM劫持的技術
第5章基於任務計劃實現持久化控制
5.1任務計劃基礎知識
5.1.1通過圖形界面配置任務計劃
5.1.2通過命令行工具配置任務計劃
5.2配置任務計劃實現持久化控制
5.2.1配置基本任務計劃
5.2.2配置多重操作的任務計劃
5.3檢測和清除惡意任務計劃
第6章基於服務實現持久化控制
6.1服務基礎知識
6.1.1通過可視化界面配置服務
6.1.2通過命令行工具新建服務
6.2配置服務實現持久化控制
6.3檢測和清除惡意服務
第7章基於WMI事件訂閱的持久化控制
7.1WMI基礎知識
7.1.1訪問WMI數據的方式
7.1.2WMI命名空間
7.1.3WMI類的概念
7.1.4WMI類的屬性
7.1.5WMI類的方法
7.2WMI事件訂閱機制概述
7.3WMI永久訂閱的持久化控制
7.4檢測與清除惡意WMI事件訂閱
第8章基於特殊DLL文件實現持久化控制
8.1AppCert DLL持久化攻防
8.1.1配置AppCert DLL以實現持久化
8.1.2檢測和清除惡意AppCert DLL
8.2AppInit DLL持久化攻防
8.2.1配置AppInit DLL以實現持久化
8.2.2檢測和清除惡意AppInit DLL
8.3Netsh Helper DLL持久化攻防
8.3.1配置Netsh Helper DLL以實現持久化
8.3.2檢測和清除惡意Netsh Helper DLL
第9章基於特殊註冊表配置的持久化控制
9.1IFEO持久化攻防
9.1.1註入Debugger值
9.1.2觸發Silent Process Exit
9.1.3註入Verifier DLL值
9.2WinLogon持久化攻防
9.2.1配置WinLogon的持久化控制
9.2.2檢測和消除WinLogon持久化控制
9.3Time Providers持久化攻防
9.3.1配置Time Providers的持久化控制
9.3.2檢測和清除Time Providers的持久化控制
9.4Port Monitors持久化攻防
9.4.1配置Port Monitors的持久化控制
9.4.2檢測和清除Port Monitor的持久化控制
第10章基於LAS的持久化控制
10.1基於認證包的持久化控制
10.1.1配置認證包的持久化控制
10.1.2檢測和清除認證包的持久化控制
10.2基於安全包的持久化控制
10.2.1配置安全包的持久化控制
10.2.2檢測和清除安全包的持久化控制
10.3基於通知包的持久化控制
10.3.1配置通知包的持久化控制
10.3.2檢測和清除通知包的持久化控制







