客户端应用程序安全测试.pdfVIP

整理者：vlan911仅限内部学习使用，请勿用于非法用途

C/S架构客户端

安全评估参考手册

写在前面：

此手册仅供内部人员学习参考，适用于公司内部安全评估参考，此手册不涉

及任何获取webshell方法、非法渗透方法、不提供任何具有危害性的POC、木马

等，仅供参考，请勿用于非法用途。

2022年9月

1

整理者：vlan911仅限内部学习使用，请勿用于非法用途

目录

1.1客户端测试3

1.1.1程序加壳检测3

1.1.2签名检测4

1.1.3逆向分析/反编译防护5

1.1.4动态调试防护6

1.1.5客户端程序完整性校验7

1.1.6键盘消息记录9

1.1.7DLL注入10

1.1.8DLL劫持12

1.1.9本地文件安全14

1.1.10网络数据传输安全14

1.1.11本地注册表安全15

1.1.12内存安全17

1.1.13本地调试安全20

2.1服务端测试21

2.1.1HTTP抓包方式21

2.1.2TCP协议抓包方式22

2.1.3常见漏洞列表23

2

整理者：vlan911仅限内部学习使用，请勿用于非法用途

1.1客户端测试

1.1.1程序加壳检测

问题描述：使用DIE文件类型识别文件查看客户端程序文件的编译器连接器信息。

对exe文件进行检查，未发现具有加壳防护。

测试过程：使用测试工具DIE查壳发现系统未对安装程序加壳,以下为检查结果,

已做加壳处理的结果

3

整理者：vlan911仅限内部学习使用，请勿用于非法用途

风险分析：未加壳的程序可以对目标的开发语言进行检测，不做抗逆向、抗反汇编的安

全措施，攻击者会利用该漏洞对目标程序进行调试、分析和篡改。

修复建议：建议对客户端敏感程序文件进行加壳处理，并且注意加壳质量，避免使用

弱保护壳。可以使用VMProtect等加壳方式，具有较高的安全性。

1.1.2签名检测

问题描述：程序进行可信电子证书签名，是用于辨别程序或者第三方库是否可信的重要

途径之一，同时有效防止程序篡改或者被替换。

测试过程：Windows操作系统对自身的程序都进行了签名，以确保程序的完整性和可

用性，避免被恶意替换。

可以使用sigcheck工具检测，该工具可以对某一个目录里所有的文件进行签名检查。

以下为签名的样子

4

整理者：vlan911仅限内部学习使用，请勿用于非法用途

风险分析：未加壳的程序可以对目标的开发语言进行检测，不做抗逆向、抗反汇编的安

全措施，攻击者会利用该漏洞对目标程序进行调试、分析和篡改。

修复建议：建议对客户端敏感程序文件进行加壳处理，并且注意加壳质量，避免使用

弱保护壳。可以使用VMProtect等加壳方式，具有较高的安全性。

1.1.3逆向分析反编译防护/