[发明专利]一种基于PE文件结构实现主机远程控制方法及装置

说明书

本发明公开了一种基于PE文件结构实现主机远程控制方法及装置，所述方法包括：获取Windows操作系统的PE文件，并根据预设条件确定目标PE文件；查找所述目标PE文件的空白区域，并在查找到的空白区域注入shellcode；将所述shellcode的起始地址作为所述目标PE文件的入口点；在执行完所述shellcode后，跳转至所述PE文件的原入口点；本发明的优点在于：提供一种隐蔽的远程控制主机的方式，避免客户端被查杀，减少了远控失败而丢失主机权限的情况。

技术领域

本发明涉及主机远程控制领域，更具体涉及一种基于PE文件结构实现主机远程控制方法及装置。

背景技术

2016年《网络安全法》颁布，出台网络安全演练相关规定：关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。网络安全实战化攻防演练作为国家层面促进各个行业重要信息系统顺利建设、加强关键信息基础设施的网络安全防护、提升应急响应水平等的关键工作，以实战、对抗等方式促进网络安全保障能力提升，具有非常重要的意义。

随着大规模攻防演练行动的开展，如何有效地实施演练，提升红蓝攻防对抗演练效果，让防守方在行动时做出更加准确的判断成为了大量用户的关注重点。在攻防演练的过程中，我们从攻击方的视角可以了解到一些常见的攻击手段(如弱口令攻击、DDOS攻击、暴力破解等)，通过这些攻击手段我们可以在攻防演练中，充分检验参演单位及目标系统的安全防护、攻击监测和应急处置能力。攻击方通过一系列常规漏洞之后拿到远程主机的权限后，如何持续控制远程主机，进而横向移动是一个比较困难的课题。

常规攻击方在拿到权限后，经常会使用C2工具来远控主机，最常见的工具是Cobalt Strike一款以Metasploit为基础的GUI框架式渗透测试工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，exe、powershell木马生成等。还可以进行钓鱼攻击包括：网站克隆、目标信息获取、java执行、浏览器攻击等。CS主要用于团体协作，可以让多个攻击者同时连接到团体服务器，共享信息。使用方法常见有生成shellcode，在远程主机上使用加载器，或powershell等进行加载，进而达到远程控制主机的方式。但这种方式已经逐步被蓝队所熟悉，通过防火墙和edr设备等多重防御手段能够对powershell脚本和加载器进行有效的查杀，所以目前远程控制主机的方法容易出现客户端被查杀导致远控失败而丢失主机权限的情况。

百度文库2019年3月5日发布的《Windows系统安全攻防技术》介绍了Windows操作系统基本结构、Windows系统核心结构和组件、Windows的进程和线程管理、Windows的内存管理、Windows文件系统、PE文件格式、Windows的注册表、Windows安全性等内容，但是对Windows系统安全攻防技术相关的远程控制主机的方法没有进行介绍。因此亟待设计一种新的远程控制主机的方法。

发明内容

本发明所要解决的技术问题在于现有技术远程控制主机的方法逐步被防守方熟悉，容易出现客户端被查杀导致远控失败而丢失主机权限的情况。

本发明通过以下技术手段实现解决上述技术问题的：一种基于PE文件结构实现主机远程控制方法，所述方法包括：

获取Windows操作系统的PE文件，并根据预设条件确定目标PE文件；

查找所述目标PE文件的空白区域，并在查找到的空白区域注入shellcode；

将所述shellcode的起始地址作为所述目标PE文件的入口点；

在执行完所述shellcode后，跳转至所述PE文件的原入口点。