蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

知识点:

1、应急响应-Windows-Rootkit-分析&清除

2、应急响应-Linux-Rootkit-分析&查毒&清除

内存马和rookit都是属于权限维持技术,

内存马一般是用来控制网站,rookit一般是用来控制服务器(隐藏常规C2后门)

综合分析工具箱
https://github.com/BlackINT3/OpenArk

一、演示案例:蓝队技能-Rookit技术-Win系统&进程隐藏&网络隐藏

演示项目:https://bytecode77.com/r77-rootkit

进程隐藏,网络隐藏,文件隐藏,注册表,启动项等

1、进程隐藏



2、网络链接隐藏


3、文件隐藏



应急思路-如果识别到什么项目rookit可以下载工具还原



应急思路-识别不到的情况下采用发现隐藏进程网络等项目

火绒剑(可检测到隐藏进程)

unhide (可检测到隐藏进程,网络隐藏)

https://www.unhide-forensics.info/

隐藏进程

处置知道隐藏的进程PID号可以用命令结束掉

网络隐藏


如果用防火墙封禁本地的49170端口是没用的,因为后门还会换个端口继续链接,一般防火墙封禁远程的端口才有用。

二、演示案例:蓝队技能-Rookit技术-linux系统&进程隐藏&网络隐藏

演示项目:https://github.com/f0rb1dd3n/Reptile

进程隐藏,网络隐藏,文件隐藏,隐藏的引导持久性等

1、进程隐藏




2、网络隐藏


应急项目-unhide (可检测到隐藏进程,网络隐藏)

https://www.unhide-forensics.info/

安装使用:https://mp.weixin.qq.com/s/LnqArTrAytMKtitGvplNug

一个小巧的网络取证工具,能够发现那些借助rootkit、LKM及其它技术隐藏的进程和TCP/UDP端口。


应急项目-clamav(可检测到各类系统恶意后门文件等)

https://www.clamav.net/

开源的反病毒引擎,用于检测和删除各种恶意软件,包括病毒、木马、间谍软件等

安装使用:

https://mp.weixin.qq.com/s/QL44BbioDcYt6B17L-pTfQ

扫码全部内容:

clamscan /

只扫描/bin/目录:

clamscan /bin/

递归扫描home目录,将病毒文件删除,并且记录日志:

clamscan -r -i /home --remove -l /var/log/clamav.log

扫描指定目录,然后将感染文件移动到指定目录,并记录日志:

clamscan -r -i /home --move=/tmp/clamav -l /var/log/clamav.log

常需要扫描的重点目录:

clamscan -r -i /etc --max-dir-recursion=5 -l /var/log/clamav-etc.logclamscan -r -i /bin --max-dir-recursion=5 -l /var/log/clamav-bin.logclamscan -r -i /usr --max-dir-recursion=5 -l /var/log/clamav-usr.logclamscan -r -i /var --max-dir-recursion=5 -l /var/log/clamav-var.log

查看病毒文件:

cat /var/log/clamav-bin.log | grep "FOUND"

相关推荐
bantinghy1 小时前
Linux系统TCP/IP网络参数优化
linux·网络·tcp/ip
星期天要睡觉1 小时前
Linux 综合练习
linux·运维·服务器
saynaihe2 小时前
proxmox8升级到proxmox9
linux·运维·服务器
Orchestrator_me2 小时前
CentOS交换区处理
linux·运维·centos
zru_96022 小时前
centos 系统如何安装open jdk 8
java·linux·centos
FLS1682 小时前
VMwaer虚拟机安装完Centos后无法联网问题
linux·运维·centos
OctopusMonster2 小时前
centos下gdb调试python的core文件
linux·运维·centos
love530love2 小时前
【保姆级教程】阿里 Wan2.1-T2V-14B 模型本地部署全流程:从环境配置到视频生成(附避坑指南)
人工智能·windows·python·开源·大模型·github·音视频
snowfoootball3 小时前
(自用)Linux 常用命令自查文档
linux·运维·服务器
R-G-B3 小时前
Linux常见命令总结 合集二:基本命令、目录操作命令、文件操作命令、压缩文件操作、查找命令、权限命令、其他命令
linux·基本命令·目录操作命令·linux常见命令·压缩文件操作·权限命令·查找命令