墨者学院 - 远程电子数据取证-木马分析

最新推荐文章于 2024-05-02 00:03:39 发布
最新推荐文章于 2024-05-02 00:03:39 发布
阅读量2.1k 收藏 7
点赞数 2
分类专栏: Mozhe webshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42357070/article/details/82145976
版权
第一题驱动级文件隐藏此驱动级隐藏文件会在服务项增加一个xlkfs的服务驱动文件路径为:c:\WINDOWS\system32\drivers\xlkfs.sys配置文件路径为:c:\WINDOWS\xlkfs.ini转自:http://www.91ri.org/15356.html 独自等待 解题思路:连接上服务器,先搜索SEO找到seo文件夹路径,在C:\Inet...
摘要由CSDN通过智能技术生成

第一题

驱动级文件隐藏

此驱动级隐藏文件会在服务项增加一个xlkfs的服务

驱动文件路径为:c:\WINDOWS\system32\drivers\xlkfs.sys

配置文件路径为:c:\WINDOWS\xlkfs.ini

转自:http://www.91ri.org/15356.html 独自等待

 

解题思路:

连接上服务器,先搜索SEO找到seo文件夹路径,在C:\Inetpub\wwwroot\seo,打开这个路径并没有seo这个文件夹,在工具->文件夹选项中显示隐藏文件无效,根据提示和百度得知是驱动级文件隐藏,特征为系统目录下存在如下文件:

 

C:\WINDOWS\xlkfs.dat

C:\WINDOWS\xlkfs.dll

C:\WINDOWS\xlkfs.ini

C:\WINDOWS\system32\drivers\xlkfs.sys

 

查询服务状态:

sc qc xlkfs

停止服务:

net stop xlkfs

或者   

删除服务:

sc delete xlkfs

发现seo文件夹出现了,打开key_shell.asp,拿到key

 

第二题

1、了解windows系统保留字;
2、了解通过命令行查看以windows系统保留字命名的文件的内容。

windows下的保留字有:

aux|prn|con|nul|com1|com2|com3|com4|com5|

最低0.47元/天 解锁文章
多崎巡礼
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院-远程电子数据取证-木马分析(第1题)
qq_37850901的博客
09-26 494
墨者学院-远程电子数据取证-木马分析(第1题) 根据给的账号密码登入系统 通过搜索引擎中的链接,发现上传的目录为“WEB站点根目录/seo/ 所以我们搜索seo,看看有什么发现只能找到快捷方式,猜测隐藏了 C:Inetpubwwwroot下没有seo这个文件夹,显示所有文件,发现还是没有,百度搜了下,说是驱动级文件隐藏,特征为系统目录下存在如下文件: C:WINDOWSxlkfs.dat C:WI...
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
墨者学院 电子数据取证
zip471642048的博客
05-29 1880
文章目录电子数据取证-流量分析(第1题)网络数据分析溯源(攻击者IP) 电子数据取证-流量分析(第1题) 网络数据分析溯源(攻击者IP) 查看z1的内容,可以知道z5是执行sql的命令
Windows应急响应-文件隐藏
qq_41274349的博客
09-02 1469
windows下隐藏文件
2024年网络安全最新网络安全-webshell详解(原理、攻击、检测与防御)
2401_84240129的博客
05-02 600
Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马,一般分为大马、小马、一句话木马。大马,体积大、功能齐全、能够管理数据库、文件管理、对站点进行快速的信息收集,甚至能够提权。小马,一般而言,我们在上传文件的时候,会被限制上传的文件大小或是拦截的情况,那么我通过小马来上传大马,实现我们想要的功能。一句话木马,短小精悍、功能强大、隐蔽性好、使用客户端可以快速管理webshell。
【WEB】远程电子数据取证-木马分析(第3题)
HAPPY
08-20 1060
【原题】 https://www.mozhe.cn/bug/detail/RHdoNU8zOUEreHdHeUhObGFPT0RGUT09bW96aGUmozhe  【解法1】 1.然后cd到这个目录(wwwroot)然后使用 dir /x 父目录 显示出dos下的文件名 2.用cmd  type发现其有888~1 选择运行   c:inetpubwwwroot888~1 3.  ...
【WEB】远程电子数据取证-木马分析(第1题)(驱动级文件隐藏)
HAPPY
08-20 1444
【原题】 https://www.mozhe.cn/bug/detail/UHpRcDlZV2J0NmxSYXFPR0g2MUxaQT09bW96aGUmozhe 在wwwroot目录下找不到应该存在的seo文件夹,根据提示,是用了驱动级文件隐藏,使得seo文件夹不可见。 【解法】 驱动级文件隐藏特征 系统目录存在如下文件: c:\WINDOWS\xlkfs.dat c:\WINDOWS...
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
11-13
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
驱动用MiniFilter来隐藏指定类型的文件.rar
09-10
驱动用MiniFilter来隐藏指定类型的文件.rar
墨者靶场 post ,DB2,绕过登录,sql注入四关
最新发布
07-22
通关攻略墨者靶场 post ,DB2,绕过登录,sql注入四关
spring IOC实现(墨者革离)
12-12
在这个名为"spring_IOC实现(墨者革离)"的项目中,我们可以通过模拟城门叩问的编剧场景来理解这一概念。 首先,控制反转的基本思想是将对象的创建和依赖关系的管理从应用程序中分离出来,交给一个外部容器(在...
mogan-main.zip
12-28
墨干编辑器是一款由墨者实验室开发的高效结构化编辑器,专为科技领域的爱好者和专业人士设计,旨在提升文本编辑、代码编写以及排版工作的体验。这款应用工具集成了多种功能,包括文本编辑、代码编辑器和排版软件,...
pytorch yolov5 指针表计识别 分步识别表计 数据
07-29
在电力、工业或家庭自动化等领域,识别指针式仪表盘读数具有重要意义,可以用于自动化监控和数据分析。 首先,我们需要了解PyTorch。PyTorch是Facebook开发的一个开源深度学习框架,它基于Python,提供了动态计算图...
二进制安全之木马程序简介
weixin_51339377的博客
03-17 990
当作(计算机会把不同的程序作为什么类型的文件和不同的方式来进行执行) 文件头的作用: 告诉系统,把下面的二进制代码,当作什么来执行!!!! 操作系统为了方便用户使用,使用后缀名这个机制: .exe .dll .jpg .jpeg .png .avi .mp3 .mp4.... 逆向工程工具:C32 协议: 李老师协议: 协议头001100->内容1->结束语1111 001100 xxxxxxxxx xxxx xxxx xxxxx 1111 0101110101
一次后门清除
安全汪
10-30 5495
最近学校的一个网站被挂了黑链,被叫去做技术支持= =!  简单介绍一下具体情况: 访问网站根目录下的一个文件:http://www.demo.com/yule 显示的是黑链地址,但是我登录到服务器上定位到根目录的时候却找不到这个文件。开始以为是文件设置了隐藏,不过修改之后还是不可以。然后怀疑黑客在服务器上做了虚拟目录,然后全盘搜索文件“yule”,奇怪的是全部盘符下都没找到这个文件。真是日了狗
图说adore-ng之文件隐藏
么刚的专栏
10-12 2115
文件隐藏说到底就是让ls、find一类的操作所返回的结果中没有需要隐藏的文件、目录。而ls、find本质上是对目录的读操作。我们要劫持它的读操作函数,让它读不出来。那读操作那个函数在哪呢?见下图。 上图是以普通文件为例说明的,目录也是类似的。只不过名字不同叫ext2_dir_operations和ext2_dir_inode_operations。说来说去怎么修改呢?见下图。
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值