最新技术实战 | 无视杀软使用远控工具进行横向移动Tips

最新技术实战 | 无视杀软使用远控工具进行横向移动Tips。

杀软是什么意思？杀软是杀毒软件的简称，取的杀毒首字与软件首字组合而成，将杀毒软件简要的称之为杀软，所以，杀软的意思就是杀毒软件，专注于信息领域安全的软件。

免责声明
请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测。

在这里插入图片描述

杀软常见查杀技术

・静态查杀：主要基于 hash 和特征码，hash 可以是文件的 hash 或导入表之类的 hash，特征码可以是 PE 头、pdb、全局字符串、互斥体之类的信息。

・动态查杀：基于 API 的监控和沙箱执行，杀软会通过对 ntdll 的关键 API 进行 hook，实现对程序的 API 监控。另外可以在内核中注册一系列的回调函数实现对行为的监控。

・启发式：就是一套加减分的规则，用于检测程序的潜在恶意行为，如程序中有操作端口和通讯的函数，并将自身加载到启动项中等上述行为，则很有可能被判定为恶意。

NO.3 杀软行为浅析

杀软已经在 system 进程中加载了不同功能的驱动。

在这里插入图片描述

在有杀软拦截，CS无法上线的情况下，经常用到todesk和向日葵这两个远控工具进行横向移动。不过这两个工具现在好像不怎么好用了。不过无所谓，用其他的就是了，听说最近GotoHTTP很火，可以试试看。

1、GoToHTTP的优点和缺点
优点：

B2C模式，无需安装控制端软件，有浏览器就可以远控。

流量走https协议，只要目标放行443端口出口就可以实现内网穿透。

在低带宽也可以使用，运行占用内存极低，控制时占用CPU仅为0%-3%。

被控端在类Linux系统上支持图形界面（GUI）和字符界面（CLI）。

缺点：

需要管理员权限运行

一些行为（网络唤醒远程主机）需要加载驱动，导致运行时360安全卫士会拦截这行为，其他杀软则不会拦截。

微信搜索x 领取资料。

2、GoToHTTP使用
下载：http://www.gotohttp.com/goto/download.12x
GoToHTTP提供了多种系统的被控端，可以根据情况选用。

在本地虚拟机演示一下

将gotohttp.exe上传到指定目录

这里可以看到靶机直接弹出连接框了

在哥斯拉中，gotohttp.exe目录下直接生成了配置文件

读取配置文件，可以获取电脑ID和控制码

直接连接

1、RustDesk介绍
看了精灵师傅的文章发现了另一个巨TM好用的远控工具，按照精灵师傅的话就是：它不仅有GotoHTTP的优点，还是免费开源的，而且还支持自建服务器，简直业界良心。

RustDesk相比于GoToHTTP最大的优点就是：普通权限即可运行，而且支持纯内网环境。
RustDesk地址：http://rustdesk.com/zh/

注意：RuskDesk控制端和被控制端是同一个应用

2、RustDesk使用
通过webshell上传rustdesk

运行rustdesk

靶机会弹框，这个不需要管，我们直接去找配置文件

配置文件地址：C:\Users\用户名\AppData\Roaming\RustDesk\config

获取id和密码

成功连接

3、踩坑实录
（1）要下载RustDesk的portable版本，不要下载puts版本。portable版本免安装，puts版本会弹框提示安装
个版本下载地址：https://gitee.com/rustdesk/rustdesk/releases

（2）不知道是不是RustDesk的bug还是出于安全考虑，如果是第一次在目标上运行RustDesk，RustDesk不会立即将密码保存到配置文件，而此时你把鼠标放在显示密码时则会保存到文件，遇到这种情况我们只需运行RustDesk，生成配置文件后结束RustDesk进程，然后修改配置文件里password为指定密码，再运行RustDesk即可。
修改配置文件password

重新启动RustDesk

成功修改密码

4、RustDesk在纯内网环境中的优势
有时候我们打点控了一台跳板机，在内网有一台服务器有webshell权限，但是这台机器又不出网，而且上面装了多个杀软，防护开到最严，你又不知道目标账号密码，这时候你许多操作都会受限，这种场景还是挺常见的。这时候如果能远程过去把杀软退掉可能是一种捷径，而RustDesk就支持在内网使用IP进行直连。

在RustDesk默认设置中，允许IP直接访问功能未开启，如下图：

针对这个问题，我们可以修改配置文件RustDesk2.toml，在options下添加一行

然后重启RustDesk即可。

RustDesk的实现IP直接访问功能监听的默认端口是21118，这个端口也是可以修改的，同样的步骤修改配置文件RustDesk2.toml，在options下添加一行direct-access-port = ‘8443’，然后重启RustDesk即可。

注意：这里修改默认端口是因为在一些场景下被控端防火墙需要放行入站方向的指定端口。

在控制端输入目标地址（如果是默认端口直接输入IP，如果是自定义端口输入IP:PORT格式），然后输入密码即可远控。

成功连接。

杀毒软件有什么作用
1、是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。

2、可进行检测、防护，并采取行动来解除或删除恶意软件程序，如病毒和蠕虫。从有害的病毒和恶意软件威胁为AndroidMDD卫队防病毒设备专业保护设备。杀毒软件为您提供了完整的移动安全套件。

3、杀毒软件的作用：防止预防计算机病毒的入侵有效及时的提醒你当前计算机的安全状况当染毒时可以对计算机内的所有文件进行查杀。有效的保护计算机内的数据安全性。

4、用最简单的语言来说就是杀毒软件属于“系统安全类”软件。安全杀毒或安全辅助（是负责安全的）。

杀毒软件,什么东西?
1、品牌型号：华为MateBook D15 系统：Windows 11 mcafee是一款杀毒软件，可以卸载。McAfee防毒软件除了操作界面更新外，也增加了许多新功能。

2、如果为了玩游戏和流畅看电影想要优化释放空间的用户建议再安装一个自己喜欢的即可。以上就是给各位小伙伴带来的有windowsdefender还用不用装杀毒软件详情，如果你经常需要下载东西或者玩游戏的话也是可以再装一个的双重保险嘛。

3、问题一：杀毒软件都有哪些，具体点。您好 1，有腾讯电脑管家、瑞星、金山毒霸、小红伞、诺顿等等。

杀软是什么意思网络
1、杀软是杀毒软件的意思网络，专注于信息领域安全的软件。

2、杀软是杀毒软件的简称。取的杀毒首字与软件首字组合而成，将杀毒软件简要的称之为杀软，所以，杀软的意思就是杀毒软件，专注于信息领域安全的软件。

3、杀软：就是杀毒软件，应用于计算机上查杀恶意软件和病毒以及木马。从而保护电脑内部资料的安全以及系统安全。杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查简称杀毒软件。

4、杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。计算机分硬件系统和软件系统两部分。硬件部分就是我们用手可以摸得着的东西。

5、杀毒软件的功能包括以下几点：防止预防计算机病毒的入侵。有效及时的提醒你当前计算机的安全状况。当染毒时可以对计算机内的所有文件进行查杀。清理电脑垃圾和冗余注册表。防止进入钓鱼网站。保护网购。

常见的杀软包括电脑杀毒软件、手机杀毒软件，还有服务器杀毒软件，随着工业互联网和物联网的发展，现在还有了物联网杀毒软件，不过不叫作物联网杀毒软件，而是叫做物联网安全软件，因为不仅仅抵御物联网病毒，还有网络攻击。

所谓电脑杀软，意思就是电脑版的杀毒软件，为电脑提供病毒查杀和病毒威胁防御功能，随着病毒与杀软斗争的进步，杀软也在不停的进步中，现代的杀软对病毒防御和查杀技术越来越高级，包括对电脑软件行为检测、AI智能引擎等等技术不断引入到电脑杀软中。

所谓手机杀软，意思就是专注于手机安全的杀毒软件，苹果手机是不需要杀毒软件的，多数手机杀软是用在安卓手机上的，因为安卓手机可以直接安装第三方来源的软件，这就存在安全隐患了，而且，苹果手机的各APP之间是相互隔离的，而安卓是相通的，所以，如果您比较爱折腾的话，那么还是有必要安装手机杀软的，请看：手机杀软哪个好？

服务器杀软使用在服务器上的杀毒软件，主要包括Windows服务器杀软和Unix服务器杀软，通常，服务器杀毒软件不是免费的，所有免费杀毒软件都仅限于个人和家庭用户，对于商业环境，杀毒软件厂商都不提供免费版本，尽管可以免费用，Unix杀软多数是免费的，因为Unix系统本身就是开源和免费的，所以，Unix平台下的多数软件，也是免费的。

随着5G时代的到来，物联网真正的发展已经开始，而物联网的安全问题也越来越突出，我们最常见到的就是监控摄像头被远程入侵，然后录像内容暴露的情况，所以，物联网在蓬勃发展的同时，安全问题也越来越被重视，物联网安全软件也就应运而生了。

综上所述，杀软的意思就是信息设备的杀毒软件，为信息设备提供安全保障的软件，我们是很有必要安装杀软的，当然，如果您觉得没有必要的话，也可以不安装，只要没有网银、没有游戏装备、不在网络上消费，等等，就可以不安装杀软，不用杀软提供的保护。