GDB解密 shc 加密的脚本(route_forbidden-close)----记一次挖矿病毒清理过程
作者的同事通过 IDA 这个软件从内存里获取了 route_forbidden-close 的 shell 脚本原文,也和作者进行了交流,了解到通过程序内存可以获取到脚本原文。systemctl list-unit-files | grep enabled 查看系统服务,如果服务不多,一个一个看,如果服务太多,那就比较浪费时间了。看了几天,调试了几天,放弃了,我去,我还是干运维吧。读懂了源码肯定能解密,但是效率太低了,而且如果黑客把shc稍微改一下,甚至改个算法,那你这源码相当于白看了。
转载
2023-09-30 11:41:21 ·
242 阅读 ·
0 评论