webshell的NTFS交换数据流文件隐藏及Python脚本查杀

最新推荐文章于 2024-07-08 09:21:20 发布
最新推荐文章于 2024-07-08 09:21:20 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 脚本 Web安全 Windows 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SKI_12/article/details/76714002
版权
本文介绍了如何利用NTFS交换数据流文件进行文件隐藏,特别是Webshell的隐藏技巧。同时,展示了如何通过Python脚本调用streams工具进行查杀,以确保系统安全。
摘要由CSDN通过智能技术生成

本文是参考了FreeBuf上的一篇文章然后再学习一遍的~

通过NTFS交换数据流文件实现文件隐藏:

首先创建一个正常的文本文件test.txt,到命令行通过dir命令查看:


先使用echo命令吧,就是将相应的字符写入新建的交换数据流文件中,通过echo hello>>test.txt:webshell.php创建交换数据流文件,然后通过dir /r命令查看,不添加/r参数是查看不到的:


接着查看新建的webshell.php文件:

最低0.47元/天 解锁文章
Mi1k7ea
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何借用 NTFS 交换数据流 实现隐藏文件?如何使用【文件包含】PHP伪协议?不同操作系统如何实现文件隐藏和木马伪装?
代码讲故事
03-27 296
如何借用 NTFS 交换数据流 实现隐藏文件?如何使用【文件包含】PHP伪协议?不同操作系统如何实现文件隐藏和木马伪装?NTFS交换数据流(Alternate Data Streams, ADS)是NTFS文件系统特有的一种功能,它允许在同一个文件名下存储多个数据流。除了默认的数据流(通常用于存储文件的实际内容),可以创建额外的数据流来存储其他信息。这个特性可以被用来隐藏文件内容,因为不是所有的操作系统和工具都能显示或读取NTFS的ADS。
webshell
prodigal11的博客
02-05 1084
Webshell实现与隐藏探究 一、什么是webshell webshell简介 webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利
NTFS交换数据流实现文件隐藏
wang1344368798的博客
08-03 622
NTFS交换数据流(Alternate Data Streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可以“寄宿”在某个文件身上,而在资源管理器中却只能看到宿主文件,找不到寄宿文件。利用ADS数据流,我们可以做很多有趣的事情。 实验磁盘必须是NTFS格式  一、ADS数据流文件的创建
[转]NTFS交换数据流打造文件隐藏
Elta学习
07-03 780
NTFS文件系统大家应该都不陌生吧?它是微软从NT系统就开始推出的一种有利于计算机安全的磁盘格式。它通过使用一系列的安全措施来对用户组和用户进行权限等方面的管理,确实起到了增强系统安全的作用。NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿
应急响应-webshell查杀
最新发布
网络安全
07-08 950
玄机靶场地址:https://xj.edisec.net第一章 应急响应-webshell查杀1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xx...
webshell查杀
weixin_43977912的博客
06-18 1122
常见的检测方法有基于主机的流量-文件-日志检测、关键字(危险函数)匹配、语义分析等 使用工具查杀Web目录 Windows:D盾 - http://www.d99net.net/down/WebShellKill_V2.0.9.zip Linux:河马 - https://www.shellpub.com/ 工具查杀不靠谱,还是要手动查看Web目录下的可解析执行文件; 通过Web访问日志分析可快速定位到webshell位置。 网站被植入WebShell的应急响应流程 主要关注Web日志,看有哪些异常的HTT
NTFS文件系统的数据流隐藏
weixin_45525701的博客
06-22 848
NTFS文件系统中,使用数据流隐藏的方式,将某文件作为数据流隐藏到正常文件的方法: 使用cmd命令窗口,输入命令 type 想要隐藏文件文件名 >>选择作为隐藏位置的文件文件名:隐藏后给文件重新的命名 下图是把文件名为mima.txt的文件隐藏文件名为yingcang.txt的文件中,给文件重新命名为mima.txt ...
关于NTFS文件系统中的数据流问题
ciahi的专栏
03-26 1300
关于NTFS文件系统中的数据流问题[转自安全焦点]xundi@xfocus.org http://www.xfocus.org2000-9-18在NTFS文件系统里存在的数据流形式已经是几年前的事情了,而防病毒供应商没有充分的检查这一方面的文件,这样导致病毒扫描程序发现不了而已代码或者病毒扫描程序本身就会有可能破坏文件系统的文件NTFS分区的数据流是一个子文件系统允许额外的数据连接到一个特别的文
文件上传漏洞
m0_55772907的博客
04-28 3213
什么是文件上传漏洞 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 什么是webshell WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者
第8章权限维持分析及防御
willow_liang的博客
12-30 1974
第8章权限维持分析及防御 后门是一个留在目标主机上的软件,它可以使攻击者随时与目标主机进行连接。在大多数情况下,后门是一个运行在目标主机上的隐藏进程。因为后门可能允许一个普通的授权的用户控制计算机,所以攻击者经常使用后门来控制服务器。攻击者在提升权限之后,往往会通过建立后门来维持对目标主机的控制权。这样一来,即使修复了被攻击者利用的系统漏洞,攻击者还是可以通过后门继续控制目标系统。因此如果我们能够了解攻击者在系统中建立后门的方法和思路,就可以在发现系统被人侵后快速找到攻击者留下的后门并将其清除。 .
Webshell查杀C#源码
12-02
Webshell查杀C#源码,最新64位系统专版,源码只用于技术交流,秉承分享精神,请勿用于商业用途
linux下的webshell查杀工具
04-03
一款好用的linux下的webshell查杀软件。linux下的webshell查杀工具很少,所以这里分享出来。用于发现服务器上的web后门 官方网站地址:https://www.shellpub.com
WebshellKillerTool.zip(后门查杀软件
01-02
可用来查杀恶意后门,用于服务器安全和虚拟测试,但不能保证绝对性,
NTFS文件流访问
09-20
NTFS 文件系统下 流文件的访问与控制。很好的文档亲测可用。可用于文件的特殊处理。可以用来隐藏文件除非使用专用工具否则无法编辑。
NTFS文件管理 ntfsstreamseditor
08-10
NTFS文件管理 NTFS文件管理 ntfsstreamseditor ntfsstreamseditor
谈谈NTFS数据流文件
热门推荐
梦涵飞雨de学习专栏
01-20 1万+
 1、什么是NTFS数据流文件?要了解NTFS文件之前,你应该对NTFS文件系统有一定的了解, NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。这个NTFS数据流文件,也叫Alternate data streams,简称ADS,是NTFS文件系统的一个
Windows中隐藏文件的捷径---------NTFS文件流(ADS)一、 1.在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录
大方子
05-24 894
一、      1.在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但文件的大小为    0字节,打开后也无任何内容,只有输入命令:notepad a.txt:b.txt 才能看见写入的abcde   2.在上边的命令中,a.txt可以不存在,也可以是某个已存的文件文件格式无所谓,无论是....
常见的 Webshell 查杀工具
Stestack的博客
05-22 1534
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款 WebShll 检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种 WebShell 检测能力,比如阿里云、青藤云、safedog 等,本文暂不讨论。1、D盾_Web查杀阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏WebShell 后门行为。兼容性:只提供 Windows 版本。
PHP流包装器隐藏WebShell实现与原理详解
WebShell的构造通常涉及文件包含漏洞,但作者在此介绍了一种创新的方法,即通过php://流机制,结合stream_wrapper_register函数,监控并动态生成PHP代码来执行远程代码。 首先,作者指出常规情况下,由于安全设置如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值