- A+
所属分类:未分类
信息收集不是一件容易的事。 在许多阶段,pentester必须通过许多工具来收集许多信息。 今天我们谈的是名为SHED的工具。 哪个提取信息。 此工具可用于从.net程序中提取有用信息。 在测试的许多阶段,如果测试者使用的是.net编码软件。 Pentester可以使用棚轻松打开软件。 Shed概述了存储和执行的信息。 为了向您展示我们已在Windows 10上测试过此工具。
根据国际网络安全研究所的道德黑客研究员,Shed在恶意软件分析的初始阶段很方便。
- 从github下载工具: https : //github.com/enkomio/shed/releases/tag/2.0.0
- 使用任何解压缩软件解压缩棚工具。
- 然后以管理员身份打开CMD 。 要在开始菜单中打开类型cmd并右键单击 cmd图标,然后单击以管理员身份运行 。 去你已经解开棚屋的地方。 键入cd C:\ Users \ Username \ Desktop \ Shed
- 输入dir
- 键入Shed.exe -help
- 然后扫描.net exe文件。 您可以使用github中提供的exe文件: https : //github.com/enkomio/shed
- 下载后解压缩文件。 在Visual Studio中打开项目。 您必须配置为打开此项目。 由于这个项目需要.net框架4.7.2。
- 如果需要.net框架未安装。 然后转到: https : //dotnet.microsoft.com/download/thank-you/net472
- 下载并安装.net framework 4.7.2。 使用所需框架打开Visual Studio 2015或任何版本的visual studio 。
- 并打开项目如下图所示。
- 打开程序后如下图所示。
- 用于检查是否已安装.net框架。
- 选择任何程序 ( HelloWorld )。
- 右键单击程序。 转到属性 。 检查.net框架 ,如下所示。
- 然后打开代码,然后单击构建或按F6 。 构建之后将创建一个exe 。
- 现在去调试软件中的位置。 转到C:\ Users \ Username \ Desktop \ shed-master \ Tests \ HelloWorld \ bin \ Debug
- 将exe复制到棚子位置( C:\ Users \ Username \ Desktop \ Shed ),然后返回到打开棚子的cmd。
- 去开棚的CMD 。
- 键入Shed.exe -exe HelloWorld.exe
- 以上查询显示.net程序的字符串值。 它还显示了DLL(动态链接库)和动态模块。
- 以上信息显示了该程序的DLL。 此工具可用于分析任何恶意软件代码。 此工具可用于其他黑客活动。
- 现在我们将使用shed来展示如何在正在运行的进程中注入DLL。 我们将使用在名为WindowsFormHelloWorld的棚子中给出的.net程序。 像我们上面那样编译这个程序并生成WindowsFormHelloworld.exe并将其复制到shed目录,如上所述。
- 然后键入WindowsFormHelloworld.exe
- 上面的查询将启动.net程序并将显示其PID。 现在这个PID可用于注入一个dll。
- 用于注入dll。 你有示例代码中提供的调试DLL。 然后从中复制InjectAssembly.dll
C:\ Users \ Username \ Desktop \ shed-master \ Tests \ HelloWorld \ bin \ Debug to
C:\ Users \用户名\桌面\棚 - 键入Shed.exe -exe InjectAssembly.dll -inject -pid 10804
- 上面的查询已经注入了dll。 现在打开结果转到:C:\ Users \ Username \ Desktop \ Shed \ Result \ 14284
- 在结果中,打开日志,您可以在其中查看dll和动态dll,字符串值。 如上面第一个查询中所示。 这些信息可用于exe的分析。
- 此外,它创建.json文件。 该文件显示SystemIO名称空间。 .net编程中使用的引用。 您可以分离这些namspaces。
- 上面的屏幕截图显示了.net命名空间。 这些概括了系统io名称空间。
- .net恶意软件可以提供可以截取桌面屏幕截图的广告软件 。 这个棚子可以帮助你在.net程序中找到恶意软件。
- 可以在恶意软件分析或其他黑客活动中考虑此信息。
Facebook的
推特
LinkedIn
电子邮件
Pinterest的
书签交易
偶然发现
2019年1月20日
