前言:
基于主机安全的后门分析
正题:
分为windows和linux的后门
windows
msf后门
常规清理,直接看网络分析,netstat -anpt 看网络连接,一般看对外连接
权限维持
就是有一些指令,用于权限维持,需要买服务器测试一下
web程序内存马
待思考,内存马应该是无文件,就是删掉还能继续控制的,明天想,今天要睡觉了
思考不清楚.....需要实操
看懂啦,后面会讲
.NET,php,java内存马
php内存马,直接删进程,删后门文件,重启就可以了
java就是上节课讲的,.NET也讲了
但是就是主机安全没有内存马吗,奇怪
清理后门(检测后门)
火绒剑的使用
可以检测到注册表中的修改,以及注册表异常的应用 ,可以查看异常网络进程,可以 检测数字证书,过滤80%
隐藏的账户也能用火绒剑找到
映像劫持,可以检测到伪造的启动项,例如输入notepad可以打开恶意程序
linux实验
1、常规msf后门
常规清理分析,根据网络对外连接分析
2、rootkit后门分析
无解,暂时没有设备可以检测到,只能检测到很老的rootkit