专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


yuange:简单方法避免被安装后门

2017-08-14 23:03 推荐: 浏览: 731 views 评论Comments Off on yuange:简单方法避免被安装后门 字号:

摘要: 作者:@yuange1975 以往Xcode、putty等下载软件被安装后门,最近又爆出xshell被安装后门,一些常用下载软件被安装后门几乎成了常态。怎么用简单方法检查后门、监视自己系统就成了一种生存秘籍。 以往APT对抗时一些简单的检查后门的方法和经验,...

作者:@yuange1975

以往Xcode、putty等下载软件被安装后门,最近又爆出xshell被安装后门,一些常用下载软件被安装后门几乎成了常态。怎么用简单方法检查后门、监视自己系统就成了一种生存秘籍。

以往APT对抗时一些简单的检查后门的方法和经验,就可以用来对付这些软件中的后门。因为是APT对抗时的检查后门,为了不被对方发现,检查方法都非常简单实用,基于一些常见工具或者系统的一些简单配置。

思路1是检查系统中的异常模块,2是检查数据特别是DNS请求。如果比较懂一点,再深入一些检查,基本上这些常见的针对大众的攻击就能避免。

这些都是些实战经验,还有dlllist过滤0x10000000地址查木马,vc默认模块地址0x10000000,微软为了加快加载地址不冲突自己的模块都错开分配好了的,而绝大多数木马开发者不懂这些,简单工具就过滤90%以上木马。再配合我的独门绝技打开Dnsrslvr.log记录DNS,基本上简单的手工就可以查出起码95%以上木马。

http://blog.sina.cn/dpool/blog/s/blog_85e506df0100ycvp.html

原来windows自己的dns请求有个记录文件,默认没有打开。

system32目录下创建 echo aa > dnsrslvr.log

设置权限 cacls dnsrslvr.log /g everyone:f

重启动dns client ,net stop ‘dns client’ ,net start ‘dns client’ .

原来我查马的dns记录都用这个办法,曾经和别人“打架”抢重要机器就用这招,别人的马和中转站老被我端。还有我手动查没有rootkit的各种未知马,还是很有一套的,很简单一会儿就基本上90%以上的准确率。

头几天win8下面测试好像不行了,晚上回去确认下是否是64位目录的原因。

32位win7下面找到不能成功记录的原因了,dnsrslvr.log and dnsrsvlr.log,回去看看win8、64位win8下能不能成功。

搜索还找到老外和msdn的文档了。http://www.hsc.fr/ressources/articles/win_log_files/index.html.en

我可是分析代码分析出来的。

原文:http://weibo.com/ttarticle/p/show?id=2309404140771757432459

联系站长租广告位!

中国首席信息安全官


关闭


关闭