黑客攻防之可疑文件还原【一】

2023-11-05 03:38
文章标签 黑客 还原 攻防 可疑

本文主要是介绍黑客攻防之可疑文件还原【一】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在一般的攻防对抗中,常常会遇到机器上被放了后门的情况,但这些文件一般是经过处理的,无法直接看出问题所在,这样增加了入侵检测的难度,下面我把入侵检测中真实遇到的例子,结合我之前的一些经验分享给大家,希望大家能对入侵检测有些新的认识,文中的不当之处,也希望大家能联系我纠正,谢谢!
    假设我们检测到了机器10.125.7.191有异常,下面需要对异常进行确认,并找到攻击者是如何利用漏洞的。
    第一步,登录10.125.7.191,查看当前的网络连接情况sudo netstat -anlput,发现了可疑的监听:


可疑进程id是17498.
      第二步,查看此进程的详细信息,sudo ls -l /proc/17498| grep cwd

查看父进程id,ps elf | grep 17498

查看父进程的命令行参数:cat /proc/17490/cmdline

    至此,已经能看到文件是在/tmp目录下,父进程是通过bash命令先编译了b.c然后又删除了b.c最后,后台执行了.b文件启动了端口监听。
    第三步,进入到/tmp路径下,找到.b文件进行分析:
     查看文件时,发现了两个可疑的隐藏文件:.a和.b

    第四步,查看文件的类型,发现一个是pyc类型,一个是可执行文件:

 而且在.a中发现了刚才命令中的执行的命令:
  
     现在看来解开迷团需要从pyc找到突破口。
下一篇文章会花时间来进行第二阶段的分析。

这篇关于黑客攻防之可疑文件还原【一】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/347162

相关文章

黑客为什么不黑赌博网站来搞米?

攻击了,只是你不知道而已! 同样,对方也不会通知你,告诉你他黑了赌博网站。 攻击赌博网站的不一定是正义的黑客,也可能是因赌博输钱而误入歧途的法外狂徒。之前看过一个警方破获的真实案件:28岁小伙因赌博无法提款自学成为黑客,攻击境外博彩网站日进万元,最终因涉嫌非法控制计算机信息系统罪被捕。 我见过很多因赌博输钱想请黑客帮忙渗透网站的人,在被拒后,同样也有人生出极端心理,问我怎么学习黑客,想学成之

攻防世界 unseping

unseping 攻防世界web新手练习 -unseping_攻防世界web新手题unseping-CSDN博客 这道题对我来说还是有点难,什么oct绕过命令执行第一次遇到捏,所以基本是跟着别人的wp写的,一点点记录吧 先对源码进行分析 <?phphighlight_file(__FILE__);//定义了一个ease类class ease{private $method;privat

windows手工杀毒-寻找可疑进程之线程

上篇回顾:windows手工杀毒-寻找可疑进程之进程模块-CSDN博客         上篇我们介绍了如何通过进程模块寻找可疑进程,进程模块文件按照PE格式存储,我们可以使用IDA等静态分析(不需要运行文件,只看文件内容)工具分析文件行为,也可以使用windbg,x64debug等动态分析(运行文件)文件行为,也可以根据文件所属公司,文件路径等文件相关信息寻找可疑进程。今天介绍如何通过线程寻找可疑

UTON HACK 4.0 黑客马拉松大赛在马来西亚引起巨大反响

自第四届UTON HACK黑客马拉松大赛开启报名以来,吸引了全世界范围内区块链技术精英的广泛参与,在东南亚地区特别是马来西亚引起了巨大反响。 近日,马来西亚主流媒体Delight Media Malaysia对本次黑客马拉松大赛的协办单位马来西亚何氏全球总商会、UM公司进行了专访。 前排左一起是何致呈、何德成、何伟贤、尼克及马克。 (Delight Media Malaysia摄) 马来

备份还原 本地所有的Docker 镜像并且在另一台机器上还原

备份命令 并且显示进度 backup_docker_images.sh sudo yum install jq chmod +x backup_docker_images.sh sudo ./backup_docker_images.sh #!/bin/bash# 指定备份目录backup_dir="/app/dockerImageBackup/Images"# 创建备份目录,如果不

智能对决:提示词攻防中的AI安全博弈

智能对决:提示词攻防中的AI安全博弈 在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于AI提示词攻防与安全博弈的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。 1. AI产品安全现状 随着大模型(如GPT系列)和AI应用的普及,A

8年白帽黑客的暑假学习经验及资料分享:迈向网络安全高手之路

给大家的福利 🤟 基于入门网络安全/黑客打造的:👉黑客&网络安全入门&进阶学习资源包 首先介绍一下我自己,我大学读的一所普通的本科学校,毕业顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。是一名拥有8年白帽黑客经验的安全研究员。我很高兴能在这个暑假与大家分享我的***学习经验和一些宝贵的资料,包含我入职一些大厂的面试题及经验*。**暑假是提升技能、充实自己的绝佳时期,如果

红队攻防 | 利用GitLab nday实现帐户接管

在一次红队任务中,目标是一家提供VoIP服务的公司。该目标拥有一些重要的客户,如政府组织,银行和电信提供商。该公司要求外部参与,资产测试范围几乎是公司拥有的每一项互联网资产。 第一天是对目标进行信息收集。这一次,攻击面并没有那么大,挖掘每一个资产的时间到了。发现的最有趣的资产是: target.com admin.target.com api.target.com staging.ta

WordPress 手动还原到旧版本与新版

WordPress 手动还原到旧版本与新版 WordPress后台一般都可以直接一键升级,但是也存在一些情况导致无法自动升级,比如说权限不足,还有就是一些文件的权限不一样,当然我们可以设置0777权限,但是不够安全。简单说一下 wordpress 手动还原到旧版本 和 WordPress 手动更新到最新版的方法,其实,操作都是一样的,可以说是手动更新到任意版本。

mongodb 数据库操作--备份 还原 导出 导入

mongodb数据备份和还原主要分为二种,一种是针对于库的mongodump和mongorestore,一种是针对库中表的mongoexport和mongoimport。 一,mongodump备份数据库 1,常用命令格 1 mongodump -h IP --port 端口 -u 用户名 -p 密码 -d 数据库 -o 文件存在路径 如果