蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

知识点:

1、应急响应-Windows-Rootkit-分析&清除

2、应急响应-Linux-Rootkit-分析&查毒&清除

内存马和rookit都是属于权限维持技术,

内存马一般是用来控制网站,rookit一般是用来控制服务器(隐藏常规C2后门)

综合分析工具箱
https://github.com/BlackINT3/OpenArk

一、演示案例:蓝队技能-Rookit技术-Win系统&进程隐藏&网络隐藏

演示项目:https://bytecode77.com/r77-rootkit

进程隐藏,网络隐藏,文件隐藏,注册表,启动项等

1、进程隐藏



2、网络链接隐藏


3、文件隐藏



应急思路-如果识别到什么项目rookit可以下载工具还原



应急思路-识别不到的情况下采用发现隐藏进程网络等项目

火绒剑(可检测到隐藏进程)

unhide (可检测到隐藏进程,网络隐藏)

https://www.unhide-forensics.info/

隐藏进程

处置知道隐藏的进程PID号可以用命令结束掉

网络隐藏


如果用防火墙封禁本地的49170端口是没用的,因为后门还会换个端口继续链接,一般防火墙封禁远程的端口才有用。

二、演示案例:蓝队技能-Rookit技术-linux系统&进程隐藏&网络隐藏

演示项目:https://github.com/f0rb1dd3n/Reptile

进程隐藏,网络隐藏,文件隐藏,隐藏的引导持久性等

1、进程隐藏




2、网络隐藏


应急项目-unhide (可检测到隐藏进程,网络隐藏)

https://www.unhide-forensics.info/

安装使用:https://mp.weixin.qq.com/s/LnqArTrAytMKtitGvplNug

一个小巧的网络取证工具,能够发现那些借助rootkit、LKM及其它技术隐藏的进程和TCP/UDP端口。


应急项目-clamav(可检测到各类系统恶意后门文件等)

https://www.clamav.net/

开源的反病毒引擎,用于检测和删除各种恶意软件,包括病毒、木马、间谍软件等

安装使用:

https://mp.weixin.qq.com/s/QL44BbioDcYt6B17L-pTfQ

扫码全部内容:

clamscan /

只扫描/bin/目录:

clamscan /bin/

递归扫描home目录,将病毒文件删除,并且记录日志:

clamscan -r -i /home --remove -l /var/log/clamav.log

扫描指定目录,然后将感染文件移动到指定目录,并记录日志:

clamscan -r -i /home --move=/tmp/clamav -l /var/log/clamav.log

常需要扫描的重点目录:

clamscan -r -i /etc --max-dir-recursion=5 -l /var/log/clamav-etc.logclamscan -r -i /bin --max-dir-recursion=5 -l /var/log/clamav-bin.logclamscan -r -i /usr --max-dir-recursion=5 -l /var/log/clamav-usr.logclamscan -r -i /var --max-dir-recursion=5 -l /var/log/clamav-var.log

查看病毒文件:

cat /var/log/clamav-bin.log | grep "FOUND"

相关推荐
QT.qtqtqtqtqt1 分钟前
攻防世界easyphp
linux·运维·服务器
菜鸟康27 分钟前
Linux系统编程——系统内核中的信号
linux·运维·服务器
总是学不会.1 小时前
【集合】Java 8 - Stream API 17种常用操作与案例详解
java·windows·spring boot·mysql·intellij-idea·java集合
CW_ZB6662 小时前
【无标题】
windows
0xdadream2 小时前
powershell美化
windows
CSND7402 小时前
Ubuntu vi(vim)编辑器配置一键补全main函数
linux·c语言·ubuntu·编辑器·vim
Mr-Apple3 小时前
windows编译googletest框架搭配vscode调试
ide·windows·vscode
シ風箏5 小时前
Neo4j【环境部署 02】图形数据库Neo4j在Linux系统ARM架构下的安装使用
linux·数据库·arm·neo4j
Cachel wood7 小时前
Vue.js前端框架教程8:Vue消息提示ElMessage和ElMessageBox
linux·前端·javascript·vue.js·前端框架·ecmascript
小屁不止是运维10 小时前
麒麟操作系统服务架构保姆级教程(二)ssh远程连接
linux·运维·服务器·学习·架构·ssh