.NET内网实战:通过伪造文件时间戳实现入侵阶段的痕迹清理

01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。

02基本介绍

本文内容部分节选自小报童《.NET 通过伪造文件时间戳实现痕迹清理》,完整的文章内容请加入小报童后订阅查看。现在限时只需59元,永久买断!目前已有300+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!

03原理分析

Sysnative 路径是Windows操作系统中一个非常有用的特性,解决了32位应用程序在64位系统中访问系统目录时的路径重定向问题。通过利用这一特性,红队渗透时可以实现一些新的功能和绕过防御,如启动64位CMD等。

3.1 基本介绍


CreateFile 函数通常用于在 Windows 系统中创建或打开文件、设备或管道。该函数从 kernel32.dll 库中导入.NET,具体函数的声明如下所示。

[DllImport("kernel32.dll", SetLastError = true)]
public static extern IntPtr CreateFile(
    string lpFileName,          // 文件路径
    int dwDesiredAccess,        // 访问权限
    int dwShareMode,            // 共享模式
    IntPtr securityAttrs,       // 安全属性
    int dwCreationDisposition,  // 创建方式
    int dwFlagsAndAttributes,   // 文件属性
    IntPtr hTemplateFile        // 模板文件句柄
);

在 Windows API 中,CreateFile 函数不仅用于创建文件,也可以用于打开现有文件并返回文件句柄,以便后续进行读写操作。具体的例子如下,通过使用 CreateFile 函数打开一个已存在的文件,并获取文件句柄。

class Program
{
    [DllImport("kernel32.dll", SetLastError = true)]
    public static extern IntPtr CreateFile(
        string lpFileName,
        int dwDesiredAccess,
        int dwShareMode,
        IntPtr securityAttrs,
        int dwCreationDisposition,
        int dwFlagsAndAttributes,
        IntPtr hTemplateFile);
 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dot.Net安全矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值