Metasploit是一款专门用于检测电脑系统漏洞的软件，最新版本的MSF包含了750多种流行的操作系统及应用软件的漏洞，以及224个shellcode，作为安全工具，Metasploit在安全检测中用着不容忽视的作用，并为漏洞自动化探测和及时检测系统漏洞提供了有力保障。

软件说明

一、搭建metasploit环境

Windows环境下安装

安装时需要注意要关闭杀毒软件，如果安装有杀毒软件，会提示在metasploit的安装目录下检测到病毒或木马。

二、metasploit的使用

Metasploit目前提供了三种用户使用接口，一个是GUI模式，另一个是console模式，第三种是CLI（命令行）模式。原来还提供一种WEB模式，目前已经不再支持。目前这三种模式各有优缺点，建议在MSF console模式中使用。在console中几乎可以使用MSF所提供的所有功能，还可以在console中执行一些其它的外部命令，如ping。

三、Metasploit攻击方法分类

使用的版本共有635种溢出(exploit)模块，314种辅助(auxiliary)模块，215种加载（payload）模块，27种编码(encoder)，8种nops。

攻击者必须达到如下的两个目标：

1. 在程序的地址空间里安排适当的代码。

2. 通过适当的初始化寄存器和内存，让程序跳转到入侵者安排的地址空间执行。

四、Metasploit架构

Metasploit Framework并不止具有exploit(溢出)收集功能，它使你专注于创建自己的溢出模块或者二次开发。很少的一部分用汇编和C语言实现，其余均由ruby实现。

TOOLS 集成了各种实用工具，多数为收集的其它软件

PLUGINS 各种插件，多数为收集的其它软件。直接调用其API，但只能在console模式下工作。

MODULES 目前的Metasploit Framework 的各个模块

MSF core 表示Metasploit Framework core 提供基本的API，并且定义了MSF的框架。并将各个子系统集成在一起。组织比较散乱，不建议更改。

MSF Base 提供了一些扩展的、易用的API以供调用，允许更改

Rex LIBRARIES Metasploit Framework中所包含的各种库，是类、方法和模块的集合

CLI 表示命令行界面

GUI 图形用户界面

Console 控制台用户界面

Web 网页界面，目前已不再支持

Exploits 定义实现了一些溢出模块，不含payload的话是一个Aux

Payload 由一些可动态运行在远程主机上的代码组成

Nops 用以产生缓冲区填充的非操作性指令

Aux 一些辅助模块，用以实现辅助攻击，如端口扫描工具

Encoders 重新进行编码，用以实现反检测功能等

/msf3/plugins主要包括一些数据库插件、会话插件、线程插件、socket插件等；

/ postgresql/lib/plugins主要是postgresql的调试插件和分析插件。还有一些其它的插件，比如ruby插件等。

/tools主要是一些辅助工具，如vncviewer、7za等。

/msf3/tools主要是一些转化工具，如memdump、ruby工具等。

MSF core定义了整个软件的架构方式，提供了一些基本的API，主要由汇编和C语言来实现，一般情况下不允许直接调用。共有136个汇编文件，7个.h文件，681个.C文件。MSF core组织的比较散乱，不建议更改。

汇编部分主要完成的是与相应的操作系统(如windows、linux等)有关的功能，主要是shellcode的实现等。

C语言完成的功能比较多，主要是meterpreter的实现和一些工具性的应用，包括ruby相关、内存相关（如memdump.c,属于memdump软件包，用于在DOS和Windows 9x 中dump或copy 4GB以内的地址空间）、网络相关(pcaprub.c，属于libpcap软件包的一部分，是ruby中网络的一部分)、反检测相关（timestomp.c，属于timestomp软件，用于修改文件的时间戳）等。其工具性的应用多是直接来自于其它工具软件。

五、Metasploit二次开发方法

Metasploit中的类和方法具有很好的可读性，并且采用了元编程的思想，使得进行二次开发更加方便快捷。简单的说一个程序能够产生另一个程序，就是元编程。ruby、python等均可方便的采用元编程思想。metasploit中前四个字母正好是meta，猜测其是Metaprogramming的含义。

Metasploit中所有的模块都从Msf::Module中继承，并且所有的模块有一个共享的API库。

六、安全软件常用检测方法

1、基于事务发生的时间戳，时间

2、发现可疑文件时，寻找其它具有类似MAC地址的文件，位置

3、根据文件扩展名和签名，文件特征

4、对于系统内文件创建MD5校验，内容

5、查找相应的关键字，关键字

6、对文件的内容进行行为分析，行为分析。安全软件预先知道大量的病毒指令序列，可对文件内容进行检测，如果发现匹配的序列就发出警告。

7、检查当前的进程、端口、文件系统等,状态检查

8、在文件写入磁盘时进行检测。

七、Metasploit反检测方法

针对安全软件常用的检测方法，metasploit当中集成了一些反检测的方法。还有一些相应的建议。

1、在metasploit中使用了meterpreter方法提供一些实用的API。但是meterpreter整个运行在内存当中；但它并不创建新的进程；并且使用了加密的通信方法；并且能够有效的消除入侵证据。整个过程大约在1秒内完成。避免了一些安全软件对于进程的检测。

2、内置了27种encode模块，可对metasploit中的exploit进行编码(encode)，以避免反病毒软件检测。