蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

知识点:

1、应急响应-Windows-Rootkit-分析&清除

2、应急响应-Linux-Rootkit-分析&查毒&清除

内存马和rookit都是属于权限维持技术,

内存马一般是用来控制网站,rookit一般是用来控制服务器(隐藏常规C2后门)

综合分析工具箱
https://github.com/BlackINT3/OpenArk

一、演示案例:蓝队技能-Rookit技术-Win系统&进程隐藏&网络隐藏

演示项目:https://bytecode77.com/r77-rootkit

进程隐藏,网络隐藏,文件隐藏,注册表,启动项等

1、进程隐藏



2、网络链接隐藏


3、文件隐藏



应急思路-如果识别到什么项目rookit可以下载工具还原



应急思路-识别不到的情况下采用发现隐藏进程网络等项目

火绒剑(可检测到隐藏进程)

unhide (可检测到隐藏进程,网络隐藏)

https://www.unhide-forensics.info/

隐藏进程

处置知道隐藏的进程PID号可以用命令结束掉

网络隐藏


如果用防火墙封禁本地的49170端口是没用的,因为后门还会换个端口继续链接,一般防火墙封禁远程的端口才有用。

二、演示案例:蓝队技能-Rookit技术-linux系统&进程隐藏&网络隐藏

演示项目:https://github.com/f0rb1dd3n/Reptile

进程隐藏,网络隐藏,文件隐藏,隐藏的引导持久性等

1、进程隐藏




2、网络隐藏


应急项目-unhide (可检测到隐藏进程,网络隐藏)

https://www.unhide-forensics.info/

安装使用:https://mp.weixin.qq.com/s/LnqArTrAytMKtitGvplNug

一个小巧的网络取证工具,能够发现那些借助rootkit、LKM及其它技术隐藏的进程和TCP/UDP端口。


应急项目-clamav(可检测到各类系统恶意后门文件等)

https://www.clamav.net/

开源的反病毒引擎,用于检测和删除各种恶意软件,包括病毒、木马、间谍软件等

安装使用:

https://mp.weixin.qq.com/s/QL44BbioDcYt6B17L-pTfQ

扫码全部内容:

clamscan /

只扫描/bin/目录:

clamscan /bin/

递归扫描home目录,将病毒文件删除,并且记录日志:

clamscan -r -i /home --remove -l /var/log/clamav.log

扫描指定目录,然后将感染文件移动到指定目录,并记录日志:

clamscan -r -i /home --move=/tmp/clamav -l /var/log/clamav.log

常需要扫描的重点目录:

clamscan -r -i /etc --max-dir-recursion=5 -l /var/log/clamav-etc.logclamscan -r -i /bin --max-dir-recursion=5 -l /var/log/clamav-bin.logclamscan -r -i /usr --max-dir-recursion=5 -l /var/log/clamav-usr.logclamscan -r -i /var --max-dir-recursion=5 -l /var/log/clamav-var.log

查看病毒文件:

cat /var/log/clamav-bin.log | grep "FOUND"

相关推荐
小职boy6 小时前
不忘初心Windows系统工具箱下载 - 系统优化与维护工具(v1.1)
windows·系统·电脑软件·工具箱
RisunJan7 小时前
Linux命令-rlogin(远程登录)
linux·运维
Mininglamp_27188 小时前
Claude Code 封禁中国开发者之后:本地 AI 编程工具的替代方案实测
开发语言·人工智能·windows·开源软件·ai-native
贾斯汀frank8 小时前
C# 15 类型系统改进:Union Types
开发语言·windows·c#
其实防守也摸鱼10 小时前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
YHHLAI10 小时前
Agent 智能体开发实战 · 第四课:完整工具集 —— 打造 AI 编程 Agent 的工具箱
人工智能·windows·microsoft
大飞记Python10 小时前
Linux命令速查手册(测试开发4年实战总结,附PDF)
linux·网络·pdf
顾喵12 小时前
PetaLinux 2017.4 实操指南:PREEMPT_RT实时补丁移植+Zynq PL中断UIO用户态配置(超完整避坑版)
linux
小樱花的樱花12 小时前
Linux 线程的创建
linux·c语言·开发语言
mounter62513 小时前
BPF 的进化史:从网络过滤器到 AI 时代的 Linux 核心引擎
linux·网络·人工智能·ebpf·linux kernel·kernel