后门技术

Windows

  1. 隐藏, 克隆账户test$, 在命令行,控制面板的用户管理和注册表查询
  2. shift后门, 这个经常是win7出现的粘滞键后门 具体操作就是将C盘windows目录下面的system32文件夹里面的sethc.exe应用程序进行转移,并生成sethc.exe.bak文件。并将cmd.exe拷贝覆盖sethc.exe 解决方法可以检查现在这个叫做sethc.exe的文件的MD5的值是不是cmd.exe的值或者查看属性
certutil -hashfile filename MD5
  1. 启动项和计划任务等 启动项: windows-开始-所有程序-启动 组策略: gpedit.msc 计划任务: windows-开始-所有程序-附件-系统工具-任务计划程序
  2. 劫持技术 所谓的映像劫持就是Image File Execution Options(IFEO),位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 查找方式 : 这个注册项中有恶意的键值对就需要排查0
  3. Powershell后门 如何创建 检测比较简单,查看进程中是否有powershell的常驻进程
  4. 远控软件 只能通过进程分析和流量分析才可以找到木马了
  5. 嗅探技术 直接找进程

Linux

  1. 增加超级用户
echo "mx7krshell:x:0:0::/:/bin/sh" >> /etc/passwd
  1. 破解/嗅控用户密码 查看进程基本上就能抓到恶意进程
  2. 放置SUID Shell
cp /bin/bash /dev/.rootshell
chmod u+s /dev/.rootshell
# 下面的命令用于查找系统中设置了SUID权限的文件
find / -perm +4000 -exec ls -ld {} \;  # 查找设置了SUID权限的文件
find / -perm +6000 -exec ls -ld {} \;  # 上面的-6000表示既具有suid权限又具有sgid权限的文件
  1. 利用系统服务程序
# 修改/etc/inetd.conf
daytime stream tcp nowait /bin/sh sh –I
# 用trojan程序替换in.telnetd、in.rexecd等 inted的服务程序重定向login程序

检查方式: 查看配置文件和文件MD5 5. TCP/UDP/ICMP Shell Ping Backdoor, 通过ICMP包激活后门,形成一个Shell通道 TCP ACK数据包后门, 可以穿过防火墙 Linux下的ICMP Shell后门比较容易被发现 网址 检查方式: 也是查看进程, 但是Linux的进程是可以隐藏的 6. Crontab定时任务

crontab -l #查看服务

通用

  1. 查询在线登录的人 Linux: w Windows: query user
  2. 病毒样本分析可以交给微步或者另一个网站进行检测,还可以得到病毒的C2地址
  3. ip溯源/分析 微步继续上分
  4. 域名溯源