五

1.例举你能想到的一个后门进入到你系统中的可能方式？

• 在软件的开发阶段，程序员在软件内创建后门程序，于是在下载软件时，后门进入系统

2.例举你知道的后门如何启动起来(win及linux)的方式？

• 修改系统配置
  • 添加启动项
  • 修改默认的Shell程序（默认为Explorer.exe,在登陆后失效）
  • 添加用户初始化程序（默认有一个Userinit.exe,在登陆后失效）
• 系统服务和驱动程序方式
  • 安装自己的服务和驱动程序（调用CreatService Win32 API函数）
  • 修改原有的服务和驱动配置
  • 替换原有的服务和驱动程序文件
• 替换或感染系统文件方式

3.Meterpreter有哪些给你印象深刻的功能？

• 抓取击键记录
• 获取Windows命令行界面
• 获取用户密码
• 捕捉屏幕
• 获取主机摄像头

4.如何发现自己有系统有没有被安装后门？

• 用杀毒软件查杀
• 查看自己主机上有哪些用户，再查看用户权限

基础问题回答

（1）杀软是如何检测出恶意代码的？

• 基于特征：恶意代码中一般会有一段有较明显特征的代码也就是特征码，如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配，就会把该程序当作恶意软件。
• 基于行为：通过对恶意代码的观察、研究，有一些行为是恶意代码的共同行为，而且比较特殊。所以当一个程序在运行时，杀毒软件会监视其行为，如果发现了这种特殊的行为，则会把它当成恶意软件。

（2）免杀是做什么？

• 免杀是对恶意软件做处理，让它不被杀毒软件所检测。

（3）免杀的基本方法有哪些？

• 改变特征码
  • 加壳，通过加壳，让杀毒软件无法进行反汇编、逆向工程，进而无法分析代码
  • 对shellcode进行编码、重组 
• 改变行为
  • 通讯方式
    • 尽量使用反弹式连接（用的最多）
    • 使用隧道技术
    • 加密通讯数据
  • 操作模式
    • 基于内存操作
    • 减少对系统的修改 
• 其它方法
  • 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中
  • 使用社会工程学类攻击，诱骗目标关闭AV软件、点击木马软件
  • 纯手工打造一个恶意软件

基础问题回答

（1）杀软是如何检测出恶意代码的？

• 基于特征：恶意代码中一般会有一段有较明显特征的代码也就是特征码，如果杀毒软件检测到有程序包含的特征码与其特征码库的代码相匹配，就会把该程序当作恶意软件。
• 基于行为：通过对恶意代码的观察、研究，有一些行为是恶意代码的共同行为，而且比较特殊。所以当一个程序在运行时，杀毒软件会监视其行为，如果发现了这种特殊的行为，则会把它当成恶意软件。

（2）免杀是做什么？

• 免杀是对恶意软件做处理，让它不被杀毒软件所检测。

（3）免杀的基本方法有哪些？

• 改变特征码
  • 加壳，通过加壳，让杀毒软件无法进行反汇编、逆向工程，进而无法分析代码
  • 对shellcode进行编码、重组 
• 改变行为
  • 通讯方式
    • 尽量使用反弹式连接（用的最多）
    • 使用隧道技术
    • 加密通讯数据
  • 操作模式
    • 基于内存操作
    • 减少对系统的修改 
• 其它方法
  • 使用一个有漏洞的应用当成后门，编写攻击代码集成到如MSF中
  • 使用社会工程学类攻击，诱骗目标关闭AV软件、点击木马软件
  • 纯手工打造一个恶意软件