主頁 >  其他 > 頻繁被黑客程式入侵計算機怎么辦?教你 4 種方法,完美反擊黑客

頻繁被黑客程式入侵計算機怎么辦?教你 4 種方法,完美反擊黑客

2020-10-16 12:13:54 其他

前言

??那什么,額不是最近國慶嗎?因為疫情的緣故,我們都在家中,但發生了這么一件事,看到標題你應該知道是什么了,我被黑了!!!咳咳咳,不能說是被黑了,只能說是我下載了一個后門軟體,對后門軟體,比如說灰鴿子,流光這種,那邊的黑客遠程控制了我,我知道,這是最基礎的軟體了,但是我還是中了,最后,我的賬號,密碼都被盜取,很難受對吧,所以我寫個這個文章,

如何防護這種后門,木馬?

??很容易,不去下載就好了,哎,你這不是廢話嗎?咳咳,最好的方法,360,360?你在說什么?360不是毒瘤嗎?360云大腦知道嗎?雖然這個東西經常抽風,說這個是木馬,那個是病毒,但是不去理就好了,不然你可試試不裝360會怎么樣,首先,我們要知道360的重要性,不然你可以換成卡巴斯基,咳咳,進入正題

  1. 360只是第一種方法
  2. 第二種linux,比如說ubuntu,本文用CentOS系統演示
  3. 防火墻軟體,比如說天網
  4. 還有最后一個方法,按我說的做

第一種方法:360,騰訊電腦管家,火絨,卡巴斯基等殺毒

??360你不會裝嗎?笨蛋,自己找教程,

第二種方法:Linux下chkrootkit+RKHunter直接性防護

??第二種方法開始,rootkit聽說過嗎?沒有就百度去

1. 檔案級別rootkit

??檔案級別的rootkit一般是通程序式漏洞或者系統漏洞進入系統后,通過修改系統的重要檔案來達到隱藏自己的目的,在系統遭受rootkit攻擊后,合法的檔案被木馬程式替代,變成了外殼程式,而其內部是隱藏著的后門程式,通常容易被rootkit替換的系統程式有login、ls、ps、ifconfig、du、find、netstat等,其中login程式是最經常被替換的,因為當訪問Linux時,無論是通過本地登錄還是遠程登錄,/bin/login程式都會運行,系統將通過/bin/login來收集并核對用戶的賬號和密碼,而rootkit就是利用這個程式的特點,使用一個帶有根權限后門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者通過輸入設定好的密碼就能輕松進入系統,此時,即使系統管理員修改root密碼或者清除root密碼,攻擊者還是一樣能通過root用戶登錄系統,攻擊者通常在進入Linux系統后,會進行一系列的攻擊動作,最常見的是安裝嗅探器收集本機或者網路中其他服務器的重要資料,在默認情況下,Linux中也有一些系統檔案會監控這些工具動作,例如ifconfig命令,所以,攻擊者為了避免被發現,會想方設法替換其他系統檔案,常見的就是ls、ps、ifconfig、du、find、netstat等,如果這些檔案都被替換,那么在系統層面就很難發現rootkit已經在系統中運行了,

這就是檔案級別的rootkit,對系統維護很大,目前最有效的防御方法是定期對系統重要檔案的完整性進行檢查,如果發現檔案被修改或者被替換,那么很可能系統已經遭受了rootkit入侵,檢查件完整性的工具很多,常見的有Tripwire、 aide等,可以通過這些工具定期檢查檔案系統的完整性,以檢測系統是否被rootkit入侵,

2. 內核級別的rootkit

??內核級rootkit是比檔案級rootkit更高級的一種入侵方式,它可以使攻擊者獲得對系統底層的完全控制權,此時攻擊者可以修改系統內核,進而截獲運行程式向內核提交的命令,并將其重定向到入侵者所選擇的程式并運行此程式,也就是說,當用戶要運行程式A時,被入侵者修改過的內核會假裝執行A程式,而實際上卻執行了程式B,

內核級rootkit主要依附在內核上,它并不對系統檔案做任何修改,因此一般的檢測工具很難檢測到它的存在,這樣一旦系統內核被植入rootkit,攻擊者就可以對系統為所欲為而不被發現,目前對于內核級的rootkit還沒有很好的防御工具,因此,做好系統安全防范就非常重要,將系統維持在最小權限內作業,只要攻擊者不能獲取root權限,就無法在內核中植入rootkit,

3. 主題
了解,安裝,準備,使用chkrootkit

chkrootkit是一個Linux系統下查找并檢測rootkit后門的工具,它的官方址: www.chkrootkit.org/, chkrootkit沒有包含在官方的CentOS源中,因此要采取手動編譯的方法來安裝,不過這種安裝方法也更加安全,下面簡單介紹下chkrootkit的安裝程序,

  1. 準備gcc編譯環境

對于CentOS系統,需要安裝gcc編譯環境,執行下述三條命令:

 yum -y install gcc
 yum -y install gcc-c++
 yum -y install make
 # 安裝gcc,g++,CMake
復制代碼
  1. 安裝chkrootkit

為了安全起見,建議直接從官方網站下載chkrootkit原始碼,然后進行安裝,操作如下:

 tar zxvf chkrootkit.tar.gz
 cd chkrootkit-*
 make sense
 # 注意,上面的編譯命令為make sense
復制代碼
  1. 使用chkrootkit

安裝完的chkrootkit程式位于/usr/local/chkrootkit目錄下,執行如下命令即可顯示chkrootkit的詳細用法:

/usr/local/chkrootkit/chkrootkit  -h #顯示幫助資訊
復制代碼

chkrootkit各個引數的含義如下所示,

命令作用
-h 顯示幫助資訊
-v 顯示版本資訊
-ddebug ddebug模式,顯示檢測程序的相關指令程式
-q 安靜模式,只顯示有問題的內容
-x 高級模式,顯示所有檢測結果
-r dir設定指定的目錄為根目錄
-p dir1:dir2:dirN指定chkrootkit檢測時使用系統命令的目錄
-n 跳過NFS連接的目錄

chkrootkit的使用比較簡單,直接執行chkrootkit命令即可自動開始檢測系統,下面是某個系統的檢測結果:

[root@server chkrootkit] # /usr/local/chkrootkit/chkrootkit
Checking ` ifconfig '... INFECTED
Checking ` ls '... INFECTED
Checking `login'... INFECTED
Checking ` netstat '... INFECTED
Checking ` ps '... INFECTED
Checking ` top '... INFECTED
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking ` tar '... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `telnetd'... not found
復制代碼

從輸出可以看出,此系統的ifconfig、ls、login、netstat、ps和top命令已經被感染,針對被感染rootkit的系統,最安全而有效的方法就是備份資料重新安裝系統
4. chkrootkit的缺點

chkrootkit在檢查rootkit的程序中使用了部分系統命令,因此,如果服務器被黑客入侵,那么依賴的系統命令可能也已經被入侵者替換,此時chkrootkit的檢測結果將變得完全不可信,為了避免chkrootkit的這個問題,可以在服務器對外開放前,事先將chkrootkit使用的系統命令進行備份,在需要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測,這個程序可以通過下面的操作實作:

[root@server ~] # mkdir /usr/share/.commands
[root@server ~] # cp `which --skip-alias awk cut echo find egrep id head ls netstat ps strings sed uname` /usr/share/.commands
[root@server ~] # /usr/local/chkrootkit/chkrootkit -p /usr/share/.commands/
[root@server share] # cd /usr/share/
[root@server share] # tar zcvf commands.tar.gz .commands
[root@server share] #  rm -rf commands.tar.gz
復制代碼

上面這段操作是在/usr/share/下建立了一個.commands隱藏檔案,然后將chkrootkit使用的系統命令進行備份到這個目錄下,為了安全起見,可以將.commands目錄壓縮打包,然后下載到一個安全的地方進行備份,以后如果服務器遭受入侵,就可以將這個備份上傳到服務器任意路徑下,然后通過chkrootkit命令的"-p"引數指定這個路徑進行檢測即可,

rootkit后門檢測工具RKHunter

RKHunter是一款專業的檢測系統是否感染rootkit的工具,它通過執行一系列的腳本來確認服務器是否已經感染rootkit,在官方的資料中,RKHunter可以作的事情有:

  1. MD5校驗測驗,檢測檔案是否有改動
  2. 檢測rootkit使用的二進制和系統工具檔案
  3. 檢測特洛伊木馬程式的特征碼
  4. 檢測常用程式的檔案屬性是否例外
  5. 檢測系統相關的測驗
  6. 檢測隱藏檔案
  7. 檢測可疑的核心模塊LKM
  8. 檢測系統已啟動的監聽埠
  9. 下面詳細講述下RKHunter的安裝與使用,
下面詳細講述下RKHunter的安裝與使用,
  1. 安裝RKHunter

RKHunter的官方網頁地址為:www.rootkit.nl/projects/ro… 建議從這個網站下載RKHunter,這里下載的版本是rkhunter-1.4.0.tar.gz,RKHunter的安裝非常簡單,程序如下:

[root@server ~] # ls
rkhunter-1.4.0\. tar .gz
[root@server ~] # pwd
/root
[root@server ~] # tar -zxvf rkhunter-1.4.0.tar.gz 
[root@server ~] # cd rkhunter-1.4.0
[root@server rkhunter-1.4.0] # ./installer.sh  --layout default --install
復制代碼

這里采用RKHunter的默認安裝方式,rkhunter命令被安裝到了/usr/local/bin目錄下,
使用rkhunter指令

rkhunter命令的引數較多,但是使用非常簡單,直接運行rkhunter即可顯示此命令的用法,下面簡單介紹下rkhunter常用的幾個引數選項,

[root@server ~]#/usr/local/bin/rkhunter–help

Rkhunter常用引數以及含義如下所示:

引數含義
--c, --check 必選引數,表示檢測當前系統
--configfile 使用特定的組態檔
--cronjob 作為cron任務定期運行
--sk, --skip-keypress 自動完成所有檢測,跳過鍵盤輸入
--summary 顯示檢測結果的統計資訊
--update 檢測更新內容
-v, --version 顯示版本資訊
--versioncheck 檢測最新版本

下面是通過rkhunter對某個系統的檢測示例:

[root@server rkhunter-1.4.0] # /usr/local/bin/rkhunter   -c 
[ Rootkit Hunter version 1.4.0 ]
# 下面是第一部分,先進行系統命令的檢查,主要是檢測系統的二進制檔案,因為這些檔案最容易被rootkit攻擊,顯示OK字樣表示正常,顯示Warning表示有例外,需要引起注意,而顯示“Not found”字樣,一般無需理會
Checking system commands...
   Performing  'strings'  command  checks
     Checking  'strings'  command                            [ OK ]
   Performing  'shared libraries'  checks
     Checking  for  preloading variables                        [ None found ]
     Checking  for  preloaded libraries                         [ None found ]
     Checking LD_LIBRARY_PATH variable                 [ Not found ]
   Performing  file  properties checks
     Checking  for  prerequisites                              [ Warning ]
     /usr/local/bin/rkhunter   [ OK ]
     /sbin/chkconfig                                        [ OK ]
....(略)....
[Press <ENTER> to  continue ]
# 下面是第二部分,主要檢測常見的rootkit程式,顯示“Not found”表示系統未感染此rootkit
Checking  for  rootkits...
   Performing check of known rootkit files and directories
     55808 Trojan - Variant A                                 [ Not found ]
     ADM Worm                                           [ Not found ]
     AjaKit Rootkit                                         [ Not found ]
     Adore Rootkit                                          [ Not found ]
aPa Kit                                               [ Not found ]
     Apache Worm                                          [ Not found ]
     Ambient (ark) Rootkit                                    [ Not found ]
     Balaur Rootkit           [ Not found ]
     BeastKit Rootkit                                         [ Not found ]
beX2 Rootkit                                             [ Not found ]
     BOBKit Rootkit                    [ Not found ]
....(略)....
[Press <ENTER> to  continue ]
# 下面是第三部分,主要是一些特殊或附加的檢測,例如對rootkit檔案或目錄檢測、對惡意軟體檢測以及對指定的內核模塊檢測
   Performing additional rootkit checks
     Suckit Rookit additional checks                          [ OK ]
     Checking  for  possible rootkit files and directories      [ None found ]
     Checking  for  possible rootkit strings                    [ None found ]
   Performing malware checks
     Checking running processes  for  suspicious files          [ None found ]
     Checking  for  login backdoors                          [ None found ]
     Checking  for  suspicious directories                     [ None found ]
     Checking  for  sniffer log files                          [ None found ]
   Performing Linux specific checks
     Checking loaded kernel modules                     [ OK ]
     Checking kernel module names                     [ OK ]
[Press <ENTER> to  continue ]
# 下面是第四部分,主要對網路、系統埠、系統啟動檔案、系統用戶和組配置、SSH配置、檔案系統等進行檢測
Checking the network...
   Performing checks on the network ports
     Checking  for  backdoor ports                         [ None found ]
   Performing checks on the network interfaces
     Checking  for  promiscuous interfaces                      [ None found ]
Checking the  local  host...
   Performing system boot checks
     Checking  for  local  host name                         [ Found ]
     Checking  for  system startup files                        [ Found ]
     Checking system startup files  for  malware                [ None found ]
   Performing group and account checks
     Checking  for  passwd  file  [ Found ]
     Checking  for  root equivalent (UID 0) accounts            [ None found ]
     Checking  for  passwordless accounts                   [ None found ]
....(略)....
[Press <ENTER> to  continue ]
# 下面是第五部分,主要是對應用程式版本進行檢測
Checking application versions...
     Checking version of GnuPG[ OK ]
     Checking version of OpenSSL                        [ Warning ]
     Checking version of OpenSSH                        [ OK ]
# 下面是最后一部分,這個部分其實是上面輸出的一個總結,通過這個總結,可以大概了解服務器目錄的安全狀態,
System checks summary
=====================
File properties checks...
     Required commands check failed
     Files checked: 137
     Suspect files: 4
Rootkit checks...
     Rootkits checked : 311
     Possible rootkits: 0
Applications checks...
     Applications checked: 3
     Suspect applications: 1
The system checks took: 6 minutes and 41 seconds
復制代碼

在Linux終端使用rkhunter來檢測,最大的好處在于每項的檢測結果都有不同的顏色顯示,如果是綠色的表示沒有問題,如果是紅色的,那就要引起關注了,另外,在上面執行檢測的程序中,在每個部分檢測完成后,需要以Enter鍵來繼續,如果要讓程式自動運行,可以執行如下命令:

[root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress 
復制代碼

同時,如果想讓檢測程式每天定時運行,那么可以在/etc/crontab中加入如下內容:

30 09 * * * root /usr/local/bin/rkhunter --check --cronjob 
復制代碼

這樣,rkhunter檢測程式就會在每天的9:30分運行一次,

第三種:防火墻軟體

第一個,windows自帶防火墻

windows自帶的防火墻windows Defender,在

**控制面板\系統和安全\Windows Defender 防火墻 **

中,開啟即可,但是默認是開啟的,反正檢查一下看看有沒有開啟,有些軟體可以關閉防火墻,檢查一下就對了!

第二個:360家庭防火墻

沒錯,又是360,個人認為360的防火墻還可以,下載獨立版的就好了,連接一下云大腦,簡直是浪的飛起,雖然并沒有什么卵用,定時檢查一下埠就好了,我這種前端開發的,看的就是埠,wifi的近期使用情況,誰在用wifi,什么手機,電腦在用,看的就是這個,所以這個防火墻很好的解決了我的問題,自然我就推薦了,主要是我們這些開發者使用,推薦一下,

第三個:GlassWire

??GlassWire是windows下的一款軟體,對windows的,界面很美觀,很簡潔就像這樣 image這是切換中文的圖片,你不會想到這是windows下的軟體,它太簡潔了!所以我強推這款軟體,一個字"好!"

第四個:Firewall App Blocker

Firewall App Blocker 超級簡單易用的bai限制軟體訪問網路的防火墻:

??對于大多數用戶,Windows自帶的防火墻雖然實用但并沒有好好利用起來,主要是因為設定略顯繁瑣,使用 Firewall App Blocker (Fab) 來禁止應用聯網變得超級簡單方便,用戶只需將需要限制的應用程式添加到軟體的串列里即可,勾選狀態下為禁止聯網,取消勾選可以臨時允許聯網,就是這么簡單,
image

這個軟體很好用的,它最大的好處是解決了Windows自帶防火墻的難用問題,也推薦,但是界面沒有GlassWire那么好看,

也許你會說:“為什么只有windows的軟體?MAC的去哪里了?”我的回答是,你也不自己去數落數落MAC的防御力,不說是木馬了,來個頂級黑客攻進去也要費很多時間!至于Linux的,或許你已經看過了,就不用我來說了,如果你想秀技術,來個反黑客我沒意見,如果你真的黑成功了,那你可以做什么呢?等著網警來找你?不要無罪變有罪了,

最后一種方法

前言

這個方法很繞,如果實在是聽不下去就別聽了(博主的衷心勸告),最后一種方法是反黑客后門軟體,前言不多說,直接進入正題

正題

馬上進入正題!

了解什么是后門程式

??后門程式是指那些繞過安全性控制而獲取對程式或系統訪問權的程式方法,一般在軟體開發時,程式員會在軟體中創建后門程式,這樣就可以修改程式設計中的缺陷,但是,如果這些后門被其他人知道,或是在發布軟體之前沒有洗掉后門程式,那么它就成了安全風險,容易被黑客當成漏洞進行攻擊,通俗的講,后門程式就是留在計算機系統中,供某位特殊使用者通過某種特殊方式控制計算機系統的途徑,

一、遠程控制的兩個通性

(1)任何一款的遠程控制技術都必須與目標(被控端)建立至少一個TCP或者UPD連接,如果黑客未上線,則會每隔30秒向黑客發起連接請求,

**(2)任何一款遠控木馬都會向系統寫入至少一個隨機啟動項、服務啟動項,或者劫持某個系統必備的正常啟動項,并且會在某個目錄中隱、釋放木馬,以方便隨機啟動,

二、基于遠控通性反遠程控制法——兩條命令判斷是否被控制
  1. 最簡單的方法就是通過兩條命令,一條是“netstat “ ,另一條就是“tasklist “命令,這兩條命令可真為是絕配的反黑客遠控的方法啊,首先我們就在虛擬機中測驗,在本機使用灰鴿子主控端生成一個木馬放入到虛擬機中運行,

    netstat # 在cmd,powershell,Git等終端中運行,直接監聽埠 tasklist # 查看所有程式的占用埠

  2. 確認虛擬機已經中了我們的遠控木馬之后我們開始執行第一條命令,首先大家先在聯網的情況,把所有聯網的程式都關閉,包括殺毒軟體、QQ、迅雷、等存在聯網的程式關閉,保存最原始的行程,這樣很方便我們識別,再次打開開始選單——運行——輸入“cmd”,進入到黑色的DOS視窗下,輸入命令“netstat -ano“,這條命令的意思是查看當前網路的連接狀態,輸入之后我們查看中主要看”state”的狀態,如果是“listenning”是埠的監聽這個可以放心,如果是“ESTABLISHED”可要注意了,這個狀態意思是正在連接!我們肯定會想,我們都沒開任何程式在聯網,何來正在與遠程主機連接呢?下面是中了遠程控制木馬的虛擬機中網路連接狀態,

  3. 此時捕捉到正在連接的狀態的最后一行PID值為:3920,這就是我們說的遠控至少與目標建立一個TCP或UDP連接,而這里建立了一個TCP連接,并且仔細看下,“Foregin Address”意思是外網地址,這個IP地址可以百度進行查詢下就可以知道是哪個地區的人在控制我們的電腦,再仔細看下IP地址后面的埠為:8000,現在很多主流的遠程軟體都是8000或者80埠,這又更值得懷疑了,這樣我們就可以查看行程,因為木馬要想進行連接就必定會在記憶體中進行運行,否則就無法進行連接了,我們查看記憶體中可疑的行程,上面捕獲的連接PID為:3920,我們輸入命令“tasklist /svc“這條命令是查看當前行程與PID值和啟動的服務,

  4. 通過上面的命令找到了網路連接對應的PID值行程3920,并且發現該行程名是一個IE的行程,很明顯這就有問題,因為我們根本沒打開瀏覽器,何來IE行程呢?果斷的就知道它的一個遠程控制木馬偽裝的行程,我們應該馬上去進行一個查殺掉該行程,從記憶體中干掉它,我們輸入命令“taskkill /f /pid 3920” 這條命令是強制結束PID值為3920的行程,當我們強制結束掉了木馬之后發現主控端遠程控制軟體上的肉雞馬上就下線了,這樣黑客就無法進行控制了,

  5. 在這里說明,我們只是暫時現在已經讓黑客無法控制我們的電腦,結束了它的遠程控制的連接程式,但是我們要知道遠程控制的第二個通性,就是遠程控制軟體為了讓對方能夠重啟系統后繼續在黑客的遠控軟件上面上線,就必須會在被控者的電腦上寫入一個隨機啟動項,這個隨機啟動項就是當系統啟動的時候立馬運行木馬,運行了木馬就可以再次上線,所以我們還需要檢測我們的啟動項,很多啟動項都是寫入注冊表的,我們這里給大家列出一些木馬可能寫入的啟動鍵值,

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell鍵值 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load鍵值**

* 在CMD下切換到該目錄下行程一個強制洗掉吧,切換到目錄后輸入命令“del /ah /f svchot.exe “ 就可以強制洗掉隱藏的木馬了, 2. 此時我們把隱藏的以服務啟動的木馬干掉了,你可以去停止服務,或者通過sc delete 去洗掉服務,這里就不多講了,因為服務啟動的木馬已經被干掉了,即使服務存在也無法找到啟動程式了,我們這里將虛擬機重啟下,再查看下網路連接是否還會與黑客建立TCP遠程控制連接呢?

三、基于遠控的通性反黑客遠程控制法——兩個軟體判斷是否存在后門
  1. 這兩個工具分別是icesword(中文:冰刃)和SSM軟體,第一個軟體主要是應對一些DLL行程注入或者是存在Rootkit的木馬,所謂的Rootkit就是隱藏的意思,這樣的木馬有隱藏網路連接狀態、隱藏行程的功能,但是使用iceword查看就能查看到這種內核級隱藏的木馬,例如下面就是GHOST木馬的DLL注入,它是通過DLL注入到svchost.exe行程的,從icesword就可以找到可疑的dll模塊,

    并且大家都說”Svchost.exe“如果與外界的IP連接就肯定是被控制了,這是有道理的,因為現在的遠控比如ghost、白金遠控就是會有這種現象就是DLL注入到“svhochst.exe“行程進行控制的,所以會有連接,一般來說“svchost.exe“除了在微軟更新的時候可能存在與美國IP的連接,但是其它時候都不會存在與外界進行IP連接的,通過360的網路連接就可以直接看的出來,

    icesword里面的行程都是黑色顯示的,如果出現有紅色的行程,一般都是運用了內核級的rootkit技術的木馬,這樣的木馬通過任務管理器或者tasklist /svc 一般都是查看不到行程的,但是用冰刃卻可以很快的查看到,

  2. icesword的軟體很強大這里就不多說了,上面已經舉例說了,下面說下SSM工具的使用,首先我先在虛擬機里面安裝下這個軟體吧,并且開啟這個軟體,開啟這個軟體后只要我們運行任何一個程式都會報警說明軟體執行了什么動作!這里我們將一個灰鴿子遠控木馬拷貝進到我們的虛擬機,當我們點擊遠控木馬的時候SSM馬上就報警了,提示程式啟動,這個動作是正常的,因為該程式需要explorer圖形化程式行程啟動的,

  3. 當我們運行之后會發現,這時候程式突然來了一個注冊表修改的動作,懂注冊表的都知道這個就是向HKLC\System\CurretcontrolSet\services里面寫入服務,這個就不太正常了,不是安裝什么程式,一個簡單的程式居然寫入服務,增加服務,可疑!

  4. 當我們允許此次操作的時候,你會發現不停的會向注冊表寫入服務鍵值,這個肯定就是個可疑的動作,最后發現木馬又釋放了程式到系統目錄,照理說一個執行程式不會隨意釋放程式到系統目錄,可疑!

  5. 此允許發現最后一步又有一個行程嘗試注入到IE里面進行以IE后臺啟動木馬,很明顯就能分析出就是個可疑的木馬程式,很可能就是后門木馬,它有寫入服務的這一通性!通過SSM的攔行程式動作就可以分析一個程式是不是綁有后門木馬,

    以上就是我分享的反黑客教程,希望可以幫助你??

 

另外如果你想更好的提升你的編程能力,好好學習C/C++編程知識的話!那么你很幸運~

C語言C++編程學習交流圈子,QQ群1095293493【點擊進入】微信公眾號:C語言編程學習基地

分享(原始碼、專案實戰視頻、專案筆記,基礎入門教程)

歡迎轉行和學習編程的伙伴,利用更多的資料學習成長比自己琢磨更快哦!

編程學習書籍:

編程學習視頻:

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/173997.html

標籤:其他

上一篇:markdown特殊語法之上下標

下一篇:阿里又現海王!某程式員同時約兩個女生十一出游,沒想到兩女竟然認識!內網曝光

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more