系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

PrintSpoofer是一款在Windows 10 和 Windows Service 2016/2019 环境下将低权限提升为SYSTEM权限的工具，在红队工具仓库工具之一，360会自动查杀该工具。

目前免杀主流的方法是利用脚本、加密工具进行套一层壳，利用.ps1脚本和套壳引用工具打开PrintSpoofer从而起到一个躲避杀软静态查杀达到免杀的效果，都是依赖于工具和脚本，如果工具和脚本失效了将无法进行免杀了...该工具的是非常主流的，往后会有更多的杀软会对其进行拦截查杀，今天就带大家利用Visual Studio 2019查看PrintSpoofer底层信息，如何进行免杀的过程。

二、环境介绍

黑客（攻击者）：

IP：192.168.175.145

系统：kali.2020.4

windows 2019系统是黑客用于制作免杀PrintSpoofer的系统。

VPS服务器：

此次模拟环境将直接越过VPS平台，已经通过钓鱼拿到对方的shell过程！！

办公区域：

系统：windwos 10

IP：192.168.2.142

存在：360、360杀毒、火绒、deferencer

目前黑客通过kali系统进行攻击行为，发现漏洞后获得了windows 10 办公区域系统的权限，然后发现对方电脑上存在360、火绒、deferencer需要获取对方密码明文等信息，将演示PrintSpoofer工具底层源码如何修改过360、360杀毒、火绒、deferencer等杀软的思路。

三、环境部署

攻击者windwos server 2019 ：

1、下载PrintSpoofer源代码

https://github.com/whojeff/PrintSpoofer

2、安装Visual Studio 2019

下载网盘：

链接: https://pan.baidu.com/s/1rB-L_otR6Fy508ePz9Ourg 密码: kr7a

下载后运行vs_community__1205974387.1594742342.exe：

选择使用C ++ 的桌面开发安装：

安装成功！

三、PrintSpoofer源码免杀

源码免杀能了解PrintSpoofer底层的代码原理，只需要定位源码中的特征代码进行修改就可以达到免杀效果，接下来将演示如何定位到PrintSpoofer源代码、字符串，输入表上进行代码修改达到免杀360、360杀毒、火绒、deferencer等杀软效果。