51

信息安全中心安全沙龙 https 双向认证及自签实现

三、自签实现

根证书自签

1.创建 CA 私钥 ca.key

2.创建根证书请求文件 ca.csr

3.自签根证书 ca.cer/ca.crt

服务器证书

1.创建服务器私钥 server.key

2.创建服务器请求文件 server.csr

3.生成服务器证书 server.cer/server.crt(由根证书签发)

客户端证书

1.创建客户端私钥 client.key

2.创建服务器请求文件 client.csr

3. 生 成 服 务 器 证 书 client.cer/ client.crt 、 client.p12(ios) 、

client.jks(android)

自签过程中用到的 openssl 命令

1.创建私钥

openssl genrsa -out xx.key 1024

2.创建请求文件 xx.csr

openssl req -new -out xx.csr -key xx.key

3.生成证书

openssl x509 -req -in xx.csr -out xx.cer -signkey xx.key -CA ca.cer

-CAkey ca.key -CAcreateserial -days 3650

52

信息安全中心安全沙龙 https 双向认证及自签实现

仅开启 ssl 认证

开启双向认证，客户端无证书

开启双向认证，客户端证书安装

53

信息安全中心安全沙龙 https 双向认证及自签实现

四、性能影响

54

信息安全中心安全沙龙 企业业务数字安全（二）

企业业务数字安全(二)

作者：彭柏缘

一、黑灰产业链

（一）黑灰产业链组织形式

互联网业务黑灰产业链分为上游、中游、下游。

上游工具组主要提供各类破解工具、打码平台、伪造工具、代理工具等。中

游是信息组，主要是提供社工库、垃圾注册、盗号、洗号、信息盗取、数据爬虫

等。下游就是变现组，所谓变现就是把非现金的资产和有价证券等换成现金，互

联网黑灰产业的变现就是实施骗贷、欺诈、刷单、刷粉、薅羊毛等风险攻击。

（二）工具组

接码平台

也可以称为提供验证码、短信等号码接入服务的任务平台。

简单来说，一个接码平台参与的角色主要有：卡商、猫池、平台运营者、开

发者、用户。

猫池：猫池可以想象成一个能插大量手机卡的设备，SIM 卡只要可以接收短

信就可以接入到猫池中，一台电脑连接几台“猫池”就可以形成验证码接收平台。

猫池提供商一般给卡商提供大量接收验证码等。猫池支持短信集群收发，是黑灰

产

卡商

“黑卡”主要是非实名认证的手机号码：一类是非实名认证的手机号，其中

55

信息安全中心安全沙龙 企业业务数字安全（二）

虚拟运营商的手机号码最多；一类是冒用他人身份信息认证的手机号码；还有一

类是物联网卡（三大运营商为物联网提供的移动通信接入业务，仅能用于上网、

发短信等）等。

很多“卡商”将“黑卡”插入猫池，通过接码平台或者直接租赁给黑灰产，

就能够进行批量的号码呼叫、短信集群收发等服务。“卡商”们拥有大量特定号

段的电话卡，手机卡的数量往往达到几千张，这些手机卡来自不同的运营商。通

过小规模、多批次的方式流入市场。其中，很多手机号段下集中了几千个“黑卡”，

甚至是连号的号码，估计这与运营商经销商、内部员工的个体行为关系非常密切。

为了牟取利益，部分人员会冒着违规的风险，寻找手机卡管理的漏洞，将部分号

卡批量出售给卡商等组织者。

由于“卡商”通常与运营商的经销商有着固定而密切的合作，还会通过“养

卡”来提升躲避监管的概率。也就是说在开完卡的前几个月中，大量模拟正常用

户的操作，让监控系统误以为这是正常的电话卡而对其放松监管。总之，“黑卡”

的申请、实名信息伪造、利用等流程非常成熟，黑灰产只需要付费即可获得大量

“黑卡”。

接码平台的交易量非常大，在短短一个月期间取号条数达到 500 万，卡商的

分成高达 58 万元，总金额达到 97 万元以上。

模拟器

一种可以模拟人的行为操作的软件，采用多开方式手动操作或者结合模拟点

击，在真实网络及设备环境下模拟人类的操作，进行虚假账户注册登录、刷单刷

榜刷粉、交易下单。

网络爬虫

可以从半公开或公开网络平台爬取包括文字、图片在内的商品、服务、评价、

价格等信息，以及账户密码、联系方式、用户身份等隐私。

二手手机

黑灰产主要使用的手机为二手机，一部分性价比较高的新手机，用于下载

App、进行账户操作，购买几百或者几千部。

56

信息安全中心安全沙龙 企业业务数字安全（二）

除保留网购、游戏、外卖等几个有线上交易或账户体系的 APP 外，其他应用

都会删除，保证手机性能。这些二手手机有单独的机架，安装群控应用后分别接

入网络，通过计算机、群控软件操作

改机工具

改机工具是一种可以安装在移动端设备上

的 app，能够修改包括手机型号、串码、IMEI、

GPS 定位、MAC 地址、无线名称、手机号等在内

的设备信息。

通过不断刷新伪造设备指纹，可以达成欺骗

厂商设备检测的目的，使一部手机可以虚拟裂变

为多部手机，极大地降低了黑灰产在移动端设备

上的成本。

注册机

批量进行自动化账户注册的软件。注册机多采用易语言进行开发，其注册原

理有两种：一种是真实加载注册页面模拟用户操作的注册；另一种是通过破解注

册接口，直接调用接口参数实现注册。

群控

用一台计算机控制几十、几百部手机，实现手机、APP 同时同步操作，进行

注册、登录、抢购、下单、刷榜、薅羊毛。是黑产进行刷单、刷量、刷粉、刷阅

读量、刷榜等的核心工具。

57

信息安全中心安全沙龙 企业业务数字安全（二）

群控软件还可以设置好答复文案、关键词的智能回复后，模拟人工操作，一

对一地自动发布、推送、回复。比如微信卖茶女。

秒拨 IP

可以自动调用全国或国外的动态 IP 地址，具有自动切换、断线重拨、自动

清理浏览器的 cookies 缓存、虚拟网卡信息等功能，规避 IP 检测。

秒拨的最底层架构主要是通过国内家庭宽带拨号连接（PPPoE）的机制，家

庭宽带每次断开再次重新连接就会获得一个新的 IP 地址。黑产获得光纤宽带路

线后，部署全自动断开重新连接软件后，能够获得了许多全新的 IP，便可发动攻

击。

（三）信息组

中游是信息组，主要是提供社工库、垃圾注册、盗号、洗号、信息盗取、数

据爬虫等。

社工库

黑灰产将用户泄露的隐私信息集中整理、归档到数据库，是黑灰产进行业务

欺诈的基础资料。

拖库

黑灰产入侵网站或网站平台，将网站或平台上的用户资料数据库全部拖走。

撞库

黑灰产根据已拿到的 A 平台账户、密码，尝试登录 B 平台。

洗库

黑灰产通过技术手段将有价值的用户数据进行归纳分析，然后通过多种方式、

渠道变现。

（四）变现组

所谓变现就是把非现金的资产和有价证券等换成现金，互联网黑灰产业的变

58

信息安全中心安全沙龙 企业业务数字安全（二）

现就是实施骗贷、欺诈、刷单、刷粉、薅羊毛等风险攻击。

上游和源头是基础性技术环节，主要承担的是网络黑产的技术开发环节，如

验证码识别、自动化软件等，以及利用软件、网站及运营商的后台漏洞批量注册

虚假账号、恶意账号和养号等。黑灰产链条的中游扮演账号提供商和交易交流平

台的角色，主要是对其活动进行组织、运营和推广，包括通过建立大量的‘羊毛

党’QQ 群发展下线；产业链的下游则利用这些虚假账号和恶意木马等进行欺诈、

盗窃、钓鱼、刷单等各种类型的恶意行为，最终达到变现目的。

二、黑灰产业链运作流程

（一）账户

在确定并了解平台业务后，黑灰产开始批量注册账户。在账户注册环节，需

要并行使用三个工具，以达到快速注册目的。即注册机、秒拨 IP 和改机工具。

首先，注册机进行账户注册。根据设定好的规则和图片库等方式，对接接码

平台开始批量注册。注册机可以自动生成用户名，上传用户头像设置昵称等。

其次，秒拨 IP 会及时更换注册账户的 IP 地址，为防止被平台发现是批量注

册的账户，注册机注册一个账户后会更换一个 IP 地址，IP 来源于 IP 秒拨机。

最后，安装在移动端的改机工具，能够修改包括手机型号、串码、IMEI、GPS

定位、MAC 地址、无线名称、手机号等在内的设备信息。使得一部手机有多个账

户，每个账户属性各不同，从而欺骗设备检测。

黑灰产账户分为两类：一类普通号，主要是注册机批量生成的，主要用来刷

粉、刷阅读量使用。一类是权重号，在进行薅羊毛、刷单等欺诈时使用，需要重

点维护。

（二）羊毛党”薅羊毛”流程

第一步，汇总情报。专人去各个电商、互金、UGC 等平台以及折扣、网赚社

区、社区里搜集优惠、促销、折扣、积分信息的汇总和梳理。

第二步，分析目标。体验目标平台的业务逻辑，分析逻辑漏洞，测试出可以

薅羊毛的方案。

第三步，准备工具。从通过卡商、黑市或者接码平台购买或租赁手机号、身

份信息，为下一步注册做准备。

第四步，制作账号。直接通过任务平台收取账号，或者通过接码平台、改机

工具、秒拨 IP、注册机等工具进行注册。

第五步，薅羊毛。通过群控等工具，登录平台注册的账号，进行签到、修改

等，并根据业务的漏洞，抢购平台提供的优惠、折扣、积分、奖励等。

第六步，变现。将抢购来的积分、商品、优惠券等转售给代理、店铺或个人。

59

信息安全中心安全沙龙 动态蜜网

动态蜜网

作者：张振洲

一、背景介绍

从蜜罐技术到蜜网技术，从第一代蜜网再到第三代蜜网，当代新型主动防御

技术逐步发展与成熟。

传统部署方式需要大量的手动操作以及高性能的硬件，并且需要对蜜墙上运

行的软件进行不断更新和重新编程，以满足防御者的不同需求，这极大限制了蜜

网的使用。

第三代蜜网技术

动态蜜网优势

动态蜜网作为一种主动防御技术，是基于行为的分析技术。对于静态单一的

蜜罐， 多数攻击者会轻而易举发现端倪并进行逃脱跳转， 而动态蜜网可以通过

动态切换仿真主机和服务的方式， 并借以诱饵的辅助， 通过在真实资产上下发

海量诱饵对攻击行为、攻击类型进行感知， 从而在感知攻击的位置释放大量相

应服务， 提高蜜网的整体灵活性。

二、动态蜜网架构

工作原理

动态部署的蜜网系统， 通过监控自身和物理网络环境信息， 能够自动确定

配置蜜网节点的类型及拓扑结构， 当网络安全态势发生改变时能够实时调整蜜

网的结构、相对应的服务及投放位置， 因此系统针对实时入侵的攻击具备隐蔽

60

信息安全中心安全沙龙 动态蜜网

性， 对迷惑和降低黑客的攻击具有较大作用。

动态蜜罐

当蜜罐与攻击者进行交互时， 发现攻击者试图通过某个未开启服务或协议

进行攻击时， 能够智能化调整当前蜜罐的绑定服务来适应攻击者的攻击方式。

系统会自动根据周围真实主机的应用场景、开放端口等自动学习相应的网络开放

状态， 自动伪装出同真实主机一样的应用服务。

动态切换

真实业务系统与高交互高仿真蜜罐相结合， 正常用户访问业务系统时仍然

通过常规途径放行， 一旦发生攻击行为， 动态蜜网系统自动将请求切换至蜜

罐系统， 由蜜罐系统构建相应诱饵发送给攻击者， 从而实现将攻击者诱导至蜜

罐， 通过蜜罐记录攻击行为， 获取攻击者的位置信息、设备信息、社交信息等

方式实现攻击溯源。

虚拟设备

61

信息安全中心安全沙龙 动态蜜网

动态蜜网除了模拟服务和系统外，需要模拟网络设备来构造更真实的网络环

境， 如虚拟防火墙、虚拟交换机等。在完整的攻击链路， 真实的网络设备的接

入势必将一部分攻击流量引到真实的资产上。动态蜜网的搭建， 使得攻击流量

在虚拟网络设备中进行流量跳转，无论何种路径，攻击行为时跳不出动态蜜网。

三、诱饵应用

诱饵的作用

诱饵作为一种植入到真实资产上的陷阱，可以发挥 3 个作用:

 一是吸引攻击者对诱饵进行攻击从而保护真实资产不被触碰;

 二是作为动态蜜网的触手可以大面积延展蜜罐检测的广度;

 三是为动态蜜罐提供海量触手和检测数据，根据数据支撑提高动态蜜网的

灵活度、仿真度、准确度。

蜜罐服务动态释放

诱饵除了具备欺骗功能外，还会对各种攻击行为进行收集，当诱饵检测到攻

击行为，会将数据实时传送到蜜罐进行分析，蜜罐会根据诱饵被攻击的类型在诱

饵的网络位置周围释放大量相同或者相似的虚拟服务和仿真主机，这样做的好处

是能够极大实现隐藏真实资产让攻击行为长期在蜜网驻留的效果。

如我们在一个包含 10 台真实资产的网络区域投放了 10 个密罐，一旦这些区

域的诱饵被触碰之后，可以瞬间释放 100 个蜜罐到这个网络区域，以此隐藏真实

的资产不被攻击行为发现，这种动态释放的机制能够有效利用系统性能，保障系

统稳定的同时，最大化提升检测及保护力度。

与真实业务的动态切换

在实现诱饵的深度利用的同时，也对正常的用户业务操作场景做一定的考虑，

62

信息安全中心安全沙龙 动态蜜网

既要保证诱饵的深度植入不能影响正常业务同时也必须对正常业务能否与诱饵

结合进行研究。这就需要采用与真实业务进行动态切换的方式来实现动态蜜网，

在蜜网提供的虚假服务中植入相应的诱饵作为操作行为的感知触手，当人员进行

正常的业务操作时，诱饵是不会被触发的，一旦攻击行为触发诱饵，诱饵会通知

蜜罐系统，将正常的业务系统替换为蜜罐的虚拟服务，以此来实现动态切换的效

果。

四、动态蜜网技术设计

基于 SDN 和 NFV 高仿真度诱捕场景构建和快速重构

一方面， 软件定义网络（ S D N ） 中控制与转发分离， 网络资源抽象及

可编程的特征与优势正是 N F V 所需要的，S D N 在 N F V 的基础设施资源

（ 包括物理资源和虚拟资源） 的编排中起到重要作用， 配合 N F V 实现网络

互联和带宽业务的配置和开通、运营自动化、策略控制等。

另一方面， S D N 也可以从 N F V 引入的诸如虚拟基础设施管理与编排等

核心功能中获益， 假定 S D N 控制器运行于虚拟机之上， 这样 S D N 控制器

可以与其他虚拟网络功能（ V N F ） 一同视为业务链一部分。S D N 控制器也

可以作为 V N F 实现， 从而获得 N F V 带来的弹性、可靠性方面的优势。

基于虚拟化技术和机器学习技术构建诱捕场景

其一， 通用服务器性能是否能完全替代专有硬件网络设备。N F V 技术可

以将路由器、防火墙、负载均衡、I D S 、I P S 等任何类型的网络功能运行在

共享的通用服务器上， 并按需划分虚拟机软件实例， 提升自动化运维能力。

其二， 服务链是根据既定的顺序要求， 网络流量通过服务节点（ 如防火

墙、负载均衡、I D S 等） 形成的链条。为了实现各种业务逻辑， 服务链可编

程实现灵活组合， 结合 S D N ，服务链的重要性凸显。可通过编排器智能构建

属于自己的业务流处理方式， 形成智能化的诱捕场景。

基于 AI 的诱饵蜜标智能生成技术

从实际业务环境中采集真实业务环境数据、自动学习其特征分布、自动生成

高仿真诱饵蜜标的方法，既确保这些诱饵蜜标对于攻击者的真实性、又与实际业

务系统的真实数据有所区别， 以避免出现信息泄露。为此， 拟先采用无监督学

习进行初始化， 通过循环神经网络（ R N N ） 的优化模型长短期记忆神经网

络（ L S T M ） 、G R U 训练语言模型， 训练得到语言模型后给予随机初始

值生成该网络和系统的内容特征； 对于特征中先后顺序无相关性的部分， 采用

卷积神经网络和字符卷积网络的变分自编码器（VA E ） 学习其分布。使用上文

技术得到初始的生成器后， 再使用对抗生成网络（ G A N ） 与检测器进行对

抗训练， 以增强生成器生成诱饵蜜标的多样性和伪装性。

63

信息安全中心安全沙龙 Web 3.0

Web 3.0

作者：郭楚栩

一、何为 Web3.0

Web1.0：门户网站；

Web2.0：搜索引擎；

Web3.0：移动互联网+社

交网络。

Web1.0：门户网站；

Web2.0：社交网络；

Web3.0：物联网。

Web1.0：门户网站；

Web2.0：社交网络；

Web3.0：人工智能

（推荐算法）

Web1.0：门户网站。孤立的、静态的网页和超链接构成的，也就是当你想要

寻找某些信息的时候，你完全是通过经验在无数信息的碎片中盲目搜寻；

Web2.0：搜索引擎。增添了互动性和多媒体，以及有了搜索引擎这个索引网

络信息的渠道，也就是说，我们可以通过搜索引擎找到我们想要的信息，但所有

信息的组织方式仍旧是无序和散乱的；

Web3.0：语义网络。信息将以更有效、更结构化和更规整的方法被储存着，

就像是一个更有序的数据库，而当人们想要找到某些信息的时候，可以轻易地通

过网页的标签和关键字找到，就如同互联网能够理解你想要找的东西一样——这

也就是语义网络的概念。

Web1.0：门户网站，即，单方面的信息传输；

Web2.0：社交网络，用户依托于平台产生信息；

Web3.0：用户不依赖平台，产生并且拥有自己生产的信息。

如果说 Web1.0 是“只读”的互联网

Web2.0 是“读+写”的互联网

那么 Web3.0 就是“读+写+拥有”的互联网

二、落地技术

NFT

64

信息安全中心安全沙龙 Web 3.0

它是非同质化代币（Non-Fungible Token）的简

称，基于以太坊区块链进行交易。NFT 代币的最大特点

在于其唯一性，“非同质化”，每一块 NFT 都独一无二，

不可互换，人们可以将特殊资产绑定在 NFT 上，其可

以让许多物品成为一种数字化抽象物，变成所有者的

“数字资产”。

DAO

全称是 Decentralized Autonomous Organization，即去中心化自治组织。

和 NFT 一样，DAO 同样是建立在区块链技术上的。相对于中心化的组织，比如公

司，DAO 没有董事会，成员共同拥有权益和资产，在公开的规则下进行投票、根

据群体的意见进行民主决策。

65

信息安全中心安全沙龙 Web 3.0

三、Web3.0 隐私解决方案——skiff

1、A 用户编辑文档，使用 AB 两者共享文档的秘钥对进行加密，这私钥不会给到

Skiff；

2、A 把加密数据和公钥通过 Skiff 服务器传到 B 的浏览器；

3、B 有两个权限验证：与 Skiff、与文档；

4、验证通过后使用本地浏览器的私钥打开文档，进行数据查阅和编辑；

整个过程中，是端到端的加密验证，技术服务商 Skiff 是无法破解加密数据，数

据掌控在 AB 用户手上，能有效的保护了敏感信息。

Web3.0 邮箱——skiff

66

信息安全中心安全沙龙 Web 3.0

协同文档

67

信息安全中心安全沙龙 安全多方计算及加法同态加密

安全多方计算及加法同态加密

作者：钱薪任

一、隐私计算

云计算目前采用的依旧是使用明文对大量数据进行统计提取和分析，其中部

分数据可能导致一些敏感信息泄露。随着公众安全意识提升，现有的云计算和云

存储的未来一个发展方向是隐私计算。数据加密存储在云上，需要时云在不了解

具体原始数据前提下提供加密数据的计算服务

隐私计算实现方式

 安全多方计算:通过秘密共享的方式引入等价的多个第三方替换掉原本的

一个第二方为用户服务

 同态加密：依靠复杂加密算法的可靠同态性，来实现外包隐私计算。

 基于可信硬件（InterSGX）：依靠硬件级别设置在处理器等设备上的加密

逻辑空间来克服原本对云服务提供商的不可信（但是要相信该硬件提供

商）

二、安全多方计算（MPC）

秘密共享

秘密共享的方式，机密部分你算一部分，我算一部分，或者秘密的部分你占

用一小块，我占用一小块，多方不共谋的前提下，将秘密的保护方式分成多个人

应用程序

非可信内存区域 可信内存区域

创建 Enclave

调用 Enclave

计算处理

继续非可信 返回结果

区域代码

操作系统、虚拟机、BIOS、特权的系统代码

68

信息安全中心安全沙龙 安全多方计算及加法同态加密

的责任，这和现实生活中的一些例子也是一致的，比如金库或者仓库的保管方式，

可能采用两把独立的锁，两把锁的钥匙保存在两个人手里，或者使用需要两把钥

匙的锁，钥匙保存在两个人手中，当他们合作的时候，可以打开，非合作时，单

独一方便打不开这个锁。

 建模：模型选择 要求不共谋的多个合作方

 比较成熟的方案：两方计算

 性能：通信复杂度高，计算复杂度低

两方计算

 计算什么：加减乘除、比较、取平均、方差等等

 哪两方：合作的双方，不完全信任彼此，在不引入可信第三方的前提下

 典型案例：百万富翁问题问题

百万富翁方案

69

信息安全中心安全沙龙 安全多方计算及加法同态加密

多方计算平均

将整体的秘密信息分成多份，多个人在不共谋的情况下合作，典型的场景是

多家拥有各自私密数据的服务提供商合作为他人提供服务

多方计算典型用途

 多方竞争类：拍卖，电子投票等

 业务合作类：隐私保护的数据挖掘、机器学习、区块链、生物数据比较、

云计算等

三、加法同态加密

同态加密定义

简单描述，通过特定设置的函数 f(),使得对密文的计算操作可以转换成对

明文的等价操作

这里的计算操作在有限域中描述为有限域内的加法和乘法。

有了乘法就有了幂次运算，有了加法，就可以寻找群的逆元

难点就在这个构造群和函数 f()

70

信息安全中心安全沙龙 安全多方计算及加法同态加密

同态加密的分类

目前主要分两大类：全同态和半同态

分类的标准是在一个域内是支持任意次数的加法和乘法，还是只支持两种当

中的一个，只支持一种就是半同态，所以半同态也大致分为两类，加法同态和乘

法同态，

半同态性能：计算复杂度中等，通信复杂度中等

加法同态：对明文数据的加法运算相当于对该数据密文的乘法运算。

如果存在有效算法⊕，E(x+y)=E(x)⊕E(y)或者 x+y=D(E(x)⊕E(y))成立，

并且不泄漏 x 和 y；

乘法同态：对明文数据的乘法运算相当于对该数据密文的幂次运算。

如果存在有效算法 ，E(x×y)=E(x) E(y)或者 xy=D(E(x) E(y))成立，并且

不泄漏 x 和 y；

全同态性能：计算复杂度高，通信复杂度低

加法同态 paillier 算法

71

信息安全中心安全沙龙 安全多方计算及加法同态加密

性能比较：

方案 安全多方计算 加法同态 全同态

通信复杂度 高 中 低

计算复杂度 低 中 高

72

信息安全中心安全沙龙 云函数应用

云函数应用

作者：孙晨曦

一、常用代理工具

Proxychains-Linux 代理工具，kali 自带

SSR、V2Ray-常用科学上网工具

proxifier、sockscap64-windows、macos 全局代理工具

Nginx、Apache-中间件正向代理

其他-手机热点，GitHub 代理池工具

windows ssr

73

信息安全中心安全沙龙 云函数应用

proxychains

74

信息安全中心安全沙龙 云函数应用

手机热点显示移动基站

75

信息安全中心安全沙龙 云函数应用

二、云函数之目录扫描

云函数

（Serverless Cloud Function，SCF）是为企业和开发者提供的无服务器执

行环境，可在无需购买和管理服务器的情况下运行代码。

PART 2

https://github.com/wikiZ/ServerlessScan

76

信息安全中心安全沙龙 云函数应用

77

信息安全中心安全沙龙 云函数应用

78

信息安全中心安全沙龙 云函数应用

79

信息安全中心安全沙龙 云函数应用

三、云函数之端口扫描

80

信息安全中心安全沙龙 云函数应用

81

信息安全中心安全沙龙 云函数应用

82

信息安全中心安全沙龙 云函数应用

四、云函数之隐藏 webshell

使用方法：

https://service-m973ni33-

1306053202.sh.apigw.tencentcs.com/release/webshell?u=webshell_url

83

信息安全中心安全沙龙 云函数应用

五、云函数之隐藏 CS

https://blog.csdn.net/weixin_44747030/article/details/122513833

84

信息安全中心安全沙龙 云函数应用

85

信息安全中心安全沙龙 云函数应用

86

信息安全中心安全沙龙 云函数应用

上线地址

./teamserver ip passwd cs.profile

87

信息安全中心安全沙龙 云函数应用

监听器要删除 http 和后面的:80/443，且只能使用 80/443 端口

上线

88

信息安全中心安全沙龙 云函数应用

Wireshark 和云沙箱查看上线地址

89

信息安全中心安全沙龙 云函数应用

六、scf-proxy 项目

https://github.com/hashsecteam/scf-proxy

90

信息安全中心安全沙龙 云函数应用

91

信息安全中心安全沙龙 云函数应用

92

信息安全中心安全沙龙 云函数应用

93

信息安全中心安全沙龙 逆向工程 Windows（一）

逆向工程 Windows（一）

作者：邹天逸

一、PE 文件简介

PE（Portable Executable）文件是 Windows 操作系统下使用的可执行文件

格式。

它是微软在 UNIX 平台的 COFF（通用对象文件格式）基础上制作而成。最初

用于提高程序在不同操作系统上的移植性（ Portable ），但实际上只能在

windows 系列上使用。

PE 文件指 32 位可执行文件,又称 PE32，64 位可执行文件称为 PE+/PE32+,是

32 位文件的扩展形式。

种类 主扩展名

可执行系列 EXE, SCR

库系列 DLL, OCX, CPL, DRV

驱动程序系列 SYS, VXD

对象文件系列 OBJ

OBJ 文件之外的所有文件都是可执行的，DLL SYS 文件虽然不能直接再 shell

中运行，但可以使用其他方法执行。根据 PE 正式规范，编译结果 OBJ 文件也视

为 PE 文件，但 OBJ 文件本身不能以任何形式执行，再代码逆向分析中几乎不需

要关注它。

PE 文件结构

下图为 PE 文件结构图

当一个 PE 文件被加载到内存中以后，我们称之为“映象”（image），一般来

94

信息安全中心安全沙龙 逆向工程 Windows（一）

说，PE 文件在硬盘上和在内存里是不完全一样的，被加载到内存以后其占用的

虚拟地址空间要比在硬盘上占用的空间大一些，这是因为各个节在硬盘上是连续

的，而在内存中是按页对齐的（文件或内存中节区的起始位置要按照最小单位的

倍数位置上，空白区域将用 NULL 填充），所以加载到内存以后节之间会出现一些

“空洞”。

因为存在这种对齐，所以在 PE 结构内部，表示某个位置的地址采用了两种

方式，针对在硬盘上存储文件中的地址，称为原始存储地址或物理地址表示距离

文件头的偏移；另外一种是针对加载到内存以后映象中的地址，称为相对虚拟地

址（RVA），表示相对内存映象头的偏移。

PE 头内部信息大多以 RVA 形式存在，原因在于 PE 文件（主要是 DLL）加载

到进程虚拟内存的特定位置时，该位置可能已经加载了其他 PE 文件。此时必须

通过重定向将其加载到其他空白的位置，使用 VA 则无法访问。

使用 HxD 十六进制查看 PE 文件：

95

信息安全中心安全沙龙 逆向工程 Windows（一）

DOS 头

DOS 头由 Mark Zbikowski 开发设计 MZ 取自其姓名首字母。

其中我们只需关注 e_magic 和 e_lfanew 字段。

96

信息安全中心安全沙龙 逆向工程 Windows（一）

DOS 存根

DOS 存根在 DOS 头下方，是可选项（没有也能运行），且大小不固定，40-4D

区域为 16 位

汇编指令。32 位/64 位 windows 系统中不会允许该命令（被识别为 PE），在

DOS 环境或使

用 DOS 调试器就可以执行该代码（识别为 DOS EXE）。

在 winxp 下进行 debug 调试，可以查看 DOS 命令的执行。

其中 INT 21 为功能调用，会根据 AH 的内容进行相应的操作，比如这里进行

了 09 操作，将 DOS 存根字符串输出，随后 AX 被传入 4C01 结束 DOS 命令。

97

信息安全中心安全沙龙 逆向工程 Windows（一）

PE 文件头

DOS 头结束后的文件头部分首先由一个 IMAGE_NT_HEADERS 结构体声明。在

一个有效的 PE 文件里，Signature 字段被设置 00004550h。 ASCII 码字符是

“PE00”，标志这是 PE 文件头的开始“PE00” 字符串是 PE 文件头的开始，

DOS 头部的 e_lfanew 字段正是指向这里。

随后是_IMAGE_FILE_HEADER 结构体，其中标志出了文件的一些属性。

98

信息安全中心安全沙龙 逆向工程 Windows（一）

其中，有四个重要成员需要注意：

1、Macheine 机器型号，由下表对应机器型号。

2、NumberOfSections 指出文件中存在的节区数量，该值一定要大于 0，且

当定义的，节区数量与实际节区不同时，将发生运行错误。

3、SizeOfOptionalHeader 指出 IMAGE_OPTIONAL_HEADER32 结构体的长度，

虽然其大小确定，但 PE 装载器需要查看该值来识别大小，且 64 位（PE32+）格

式使用 IMAGE_OPTIONAL_HEADER64 结构体，尺寸不同所以需要在这个成员中明确

指出结构体大小。

4、Characteristics 标识文件属性，文件是否是可运行的形态、是否为 DLL

文件等信息，以 bit OR 形式。

99

信息安全中心安全沙龙 逆向工程 Windows（一）

在此文件中属性值为

818E = 0x8000 + 0x0100 + 0x0080 + 0x000E（0x0008+0x0004+0x0002）

可以得出文件拥有以下属性：

8000 大端序 | 100 32 位机器 | 80 小端序 | 8 符号被移除 | 4 行号被

移除 | 2 文件可执行

大端序和小端序同时出现是因为在微软定义中已废除。

随后可选头，其在 PE 文件头中占据大部分，由_IMAGE_OPTIONAL_HEADER 构

成，其中含有大量成员，我们挑部分进行讲解：

100

信息安全中心安全沙龙 逆向工程 Windows（一）

1、Magic 标志出机器型号，用于判断 PE 是 32 位还是 64 位。

#define IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10b //32 位 PE

#define IMAGE_NT_OPTIONAL_HDR64_MAGIC 0x20b //64 位 PE

#define IMAGE_ROM_OPTIONAL_HDR_MAGIC 0x107 //其它,单片机

2、AddressOfEntryPoint 指出程序执行的入口，通过相对偏移（RVA）指出，

将程序载入调试器中可以看出。

我们可以利用该属性进行反调试：

① 修改 OEP 偏移,置为 0 位置处(也就是 MZ 的位置)。

② 在 MZ 位置后面添加我们自己的代码。

③ 添加完成之后,继续跳到以前 OEP 的位置.。

3、ImageBase 指出文件的优先装入地址，EXE、DLL 被装载用户内存的到

0~7FFFFFFF，SYS 文件被载入内核内存的 80000000~FFFFFFFF 中，一般开发工具

（VB,VS）EXE 文件，该值为 00400000，DLL 文件为 10000000，但不一定。执行

PE 文件时，PE 装载器先创建进程，再将文件载入内存，然后把 EIP 寄存器的值

设置为 ImageBase + AddressOfEntryPoint

4、SectionAlignment 和 FileAlignment 指出磁盘文件和内存中的最小单位。

5、SizeOfImage 指定了 PE Image 在虚拟内存中所占空间的大小。

6、SizeOfHeaders 指出整个 PE 头的大小，该值一定是 FileAlignment 的整

数倍。

7、Subsystem 用于区分系统驱动文件（.sys）和普通的可执行文件

（.exe,.dll）

0x0001 Driver 文件（系统驱动）

0x0002 GUI 文件（窗口应用程序）

0x0003 CUI 文件（控制台应用程序）

8 、 NumberOfRvaAndSizes 指 出 IMAGE_DATA_DIRECTORY DataDirectory

[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]数据目录的个数，默认位 16 个

我们知道 PE 文件中的数据被载入内存后根据不同页面属性被划分成很多区