内网渗透-免杀杀软原理可执行文件存在的两种状态及检测方式： 未执行时在硬盘上的状态（静态检测） 执行后加载进内存的状态（动态监测） 杀软的基本等级： 无害：无任何可疑行为，无任何特征命中病毒特征 可疑：存在可疑行为，例如操作注册表、打开Powershell、修改用户、操作敏感文件等 有害：特征命中病毒特征 静态检测静态检测是在不实际运行程序的情况下进行的分析，大部分的静态检测对象是针对特定版本的源代码，也有些静态程序分析的对象是目标代码。 静态检测针对样本文件在硬盘上的状态进行检测： 样本Hash检测：此类检测会对文件整体以及各个节段进行Hash计算，而后对比是否存在于特征病毒库中，这是最早期的检测方法。对于Hash检测，在源码中修改一下变量名，或在编译完成之后，通过二进制查看器修改某一不重要的字节码，即可改变整个文件的Hash。 特征码检测：由于样本Hash检测的缺点，特征码会提取文件中部分关键字节码作为特征进行检测，字节码可以是硬编码的IP、域名、互斥体名称、加密秘钥或部分关键流程代码。杀软会扫描存在磁盘上的镜像文件，如果满足特征码，就识别为恶意软件。 黑白名单检测：对于 ...

信息收集-敏感信息收集Google Google Hacking Database：https://www.exploit-db.com/google-hacking-database Google Hacking：https://pentest-tools.com/information-gathering/google-hacking Google Dork：https://cxsecurity.com/dorks/ 基础语法管理后台地址123site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | systemsite:target.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backendsite:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录 上传类漏洞地址12site:t ...