應(yīng)急響應(yīng)技術(shù)指南

應(yīng)急響應(yīng)技術(shù)指南■版權(quán)聲明本文中出現(xiàn)的任何文字表達(dá)、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷?！鲞m用性聲明本文檔用于描述一般事件的應(yīng)急響應(yīng)流程及技術(shù)手段，供分支工程技術(shù)人員參考使用。目錄TOC\h\z\t"附錄1〔綠盟科技〕,1,附錄2〔綠盟科技〕,2,附錄3〔綠盟科技〕,3,附錄4〔綠盟科技〕,4,標(biāo)題1〔綠盟科技〕,1,標(biāo)題2〔綠盟科技〕,2,標(biāo)題3〔綠盟科技〕,3"一.前期準(zhǔn)備 11.1應(yīng)急流程 1現(xiàn)場(chǎng)應(yīng)急流程 1遠(yuǎn)程支持流程 2應(yīng)急支持接口 31.2應(yīng)急工具包 31.2.1Windows系統(tǒng)快速信息收集 31.2.2Windows檢測(cè)工具包 61.2.3UNIX/Linux檢測(cè)工具包 71.2.4WEB檢測(cè)工具包 8二.技術(shù)指南 92.1Windows檢測(cè)技術(shù) 92.1.1Windows常規(guī)檢測(cè) 92.1.2Windows惡意代碼監(jiān)測(cè) 142.2UNIX/Linux檢測(cè)技術(shù) 472.2.1UNIX/Linux常規(guī)檢測(cè) 472.2.2UNIX/Linux惡意代碼監(jiān)測(cè) 562.3WEB檢測(cè)技術(shù) 652.3.1WEB日志分析 65前期準(zhǔn)備應(yīng)急流程現(xiàn)場(chǎng)應(yīng)急流程遠(yuǎn)程支持流程應(yīng)急支持接口接口部門(mén)技術(shù)支持部效勞支持組接口人效勞支持組應(yīng)急工具包Windows系統(tǒng)快速信息收集在應(yīng)急響應(yīng)過(guò)程中，對(duì)Windows系統(tǒng)的檢查相對(duì)較多地依賴于第三方工具，而在沒(méi)有可用第三方檢查工具或由于某些特殊原因而無(wú)法在被檢查系統(tǒng)上運(yùn)行其他工具時(shí)，可參考本節(jié)，以便能在借助系統(tǒng)自帶工具的情況下快速收集信息。系統(tǒng)信息開(kāi)始–程序–附件–系統(tǒng)工具–系統(tǒng)信息〔或直接開(kāi)始—運(yùn)行–winmsd〕在系統(tǒng)信息的系統(tǒng)摘要中可獲取根本的系統(tǒng)信息，可通過(guò)截圖或保存為NFO文件用戶信息命令行方式：netuser，可直接收集用戶信息，假設(shè)需查看某個(gè)用戶的詳細(xì)信息，可使用命令netuserusername圖形界面：開(kāi)始–運(yùn)行–compmgmt.msc–本地用戶和組–用戶注冊(cè)表：開(kāi)始–運(yùn)行–regedit〔Windows2000系統(tǒng)需運(yùn)行regedt32〕，翻開(kāi)HKEY_LOCAL_MACHINE\SAM，為該項(xiàng)添加權(quán)限〔如以下圖〕添加權(quán)限完成后按F5刷新即可訪問(wèn)子項(xiàng)。翻開(kāi)：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users在此項(xiàng)下，導(dǎo)出所有以00000開(kāi)頭的項(xiàng)，將所有導(dǎo)出項(xiàng)與000001F4〔該項(xiàng)對(duì)應(yīng)administrator用戶〕導(dǎo)出內(nèi)容做比擬，假設(shè)其中“F〞值內(nèi)容相同，那么可能為克隆用戶進(jìn)程、效勞、驅(qū)動(dòng)信息進(jìn)程：翻開(kāi)系統(tǒng)信息工具，依次翻開(kāi)軟件環(huán)境–正在運(yùn)行任務(wù)，在此可查看進(jìn)程名及其對(duì)應(yīng)的執(zhí)行文件效勞：翻開(kāi)系統(tǒng)信息工具，依次翻開(kāi)軟件環(huán)境–效勞，在此可查看效勞的啟動(dòng)情況及其對(duì)應(yīng)的啟動(dòng)文件驅(qū)動(dòng)：翻開(kāi)系統(tǒng)信息工具，依次翻開(kāi)軟件環(huán)境–系統(tǒng)驅(qū)動(dòng)程序，在此可查看驅(qū)動(dòng)的啟動(dòng)情況及其對(duì)應(yīng)的驅(qū)動(dòng)文件模塊：翻開(kāi)系統(tǒng)信息工具，依次翻開(kāi)軟件環(huán)境–加載的模塊，在此可查看被加載的DLL文件及其對(duì)應(yīng)的文件路徑啟動(dòng)項(xiàng)：翻開(kāi)系統(tǒng)信息工具，依次翻開(kāi)軟件環(huán)境–啟動(dòng)程序，在此查看啟動(dòng)程序名及其對(duì)應(yīng)的啟動(dòng)文件路徑假設(shè)需對(duì)以上信息進(jìn)行保存，可保存為NFO文件，或選擇導(dǎo)出菜單導(dǎo)出為文本文件。日志與文件查看系統(tǒng)日志：開(kāi)始–運(yùn)行–eventvwr，選擇要查看的日志類(lèi)型假設(shè)需導(dǎo)出系統(tǒng)日志，可右鍵選擇要收集的日志類(lèi)型，選擇“另存日志文件〞，建議導(dǎo)出為csv文件，方便快速統(tǒng)計(jì)。其他程序日志：IIS日志：IIS日志默認(rèn)存儲(chǔ)于%systemroot%\system32\LogFiles\，假設(shè)被檢測(cè)主機(jī)為虛擬主機(jī)，為判斷每個(gè)虛擬站點(diǎn)對(duì)應(yīng)的IIS日志，可使用IIS管理腳本findweb.vbs命令格式為cscriptfindweb.vbstest2輸出結(jié)果如下WebSiteNumber=4WebSiteDescription=test2Port=80由輸出判斷該站點(diǎn)對(duì)應(yīng)的日志路徑為%systemroot%\system32\LogFiles\W3SVC4Apache日志：apacheforwin32的日志默認(rèn)存儲(chǔ)于其安裝目錄下的logs目錄中，其中access.log為訪問(wèn)日志，假設(shè)該日志不存在或較長(zhǎng)時(shí)間未出現(xiàn)過(guò)更新，那么日志路徑可能被修改，應(yīng)查看d.conf文件中的以下字段ErrorLoglogs/error.logCustomLoglogs/access.logcommon根據(jù)CustomLog字段指定的路徑，可獲取真實(shí)的日志文件位置。網(wǎng)絡(luò)信息Windows2000下可使用netstat–an命令收集網(wǎng)絡(luò)連接信息。WindowsXP以后版本中可使用netstat–ano命令收集網(wǎng)絡(luò)信息。補(bǔ)丁信息Windows2000系統(tǒng)中，收集補(bǔ)丁信息可直接訪問(wèn)注冊(cè)表路徑HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates，該路徑下存儲(chǔ)了系統(tǒng)及Windows組件的補(bǔ)丁安裝信息。WindowsXP以后版本的系統(tǒng)中，可使用WMIC命令收集補(bǔ)丁信息，運(yùn)行命令wmicqfe注：為防止輸出過(guò)多信息，可使用命令wmicqfegetDescription,HotFixID或調(diào)整cmd窗口的寬度、高度及高和寬的緩沖區(qū)大小。Windows檢測(cè)工具包分類(lèi)命令&工具&文件相關(guān)說(shuō)明Windows

應(yīng)急工具用戶檢查compmgmt.msc系統(tǒng)自帶“計(jì)算機(jī)管理〞LP_Check用于檢測(cè)克隆帳號(hào)的工具進(jìn)程及啟動(dòng)項(xiàng)processexplorer進(jìn)程檢查和管理工具autoruns啟動(dòng)項(xiàng)檢查工具Processmonitor進(jìn)程監(jiān)視工具wsyscheck進(jìn)程、效勞、模塊綜合檢查工具winmsd系統(tǒng)自帶“系統(tǒng)信息〞效勞、模塊及驅(qū)動(dòng)listdlls模塊檢查工具日志與文件streams文件流數(shù)據(jù)檢查工具sigverif文件簽名驗(yàn)證工具Regmon注冊(cè)表監(jiān)視工具Filemon文件監(jiān)視工具eventvwr系統(tǒng)自帶“事件查看器“l(fā)ogParser日志分析工具網(wǎng)絡(luò)連接Tcpview進(jìn)程與網(wǎng)絡(luò)連接查看工具netstat-ano系統(tǒng)自帶sniffer分析Wiresharksniffer〔需安裝WinPcap)snifferprowindump惡意代碼分析工具IceswordWindowsRootkit檢測(cè)工具RootkitUnhookerSysprotRootkitUnhookerUNIX/Linux檢測(cè)工具包分類(lèi)命令&工具&文件相關(guān)說(shuō)明UNIX/Linux

應(yīng)急工具用戶檢查cat/etc/passwd是否有可疑用戶及用戶登錄shell配置是否正確cat/etc/shadow是否存在空口令帳號(hào)進(jìn)程及啟動(dòng)項(xiàng)ps-eaf正在運(yùn)行的進(jìn)程信息效勞及模塊chkconfig–list(RedHat)列出每個(gè)效勞在各運(yùn)行級(jí)別下是否開(kāi)機(jī)自啟動(dòng)ls/etc/rc*.d/S*列出所有運(yùn)行級(jí)別下啟動(dòng)的效勞日志與文件find/-perm-004000–typef–print搜索硬盤(pán)中所有SUID文件md5sum檢查文件的MD5值/var/adm(Solaris)用于存儲(chǔ)日志的目錄/var/log(Linux)RPM完整性rpm-V<軟件包名>檢查軟件包是否發(fā)現(xiàn)過(guò)變化rpm–Va列出所有發(fā)生過(guò)變化的軟件包網(wǎng)絡(luò)連接lsof–i查看系統(tǒng)開(kāi)放端口及其對(duì)應(yīng)的PID等信息w查看當(dāng)前系統(tǒng)用戶登錄情況netstat查看當(dāng)前系統(tǒng)的網(wǎng)絡(luò)連接Sniffer分析tcpdumpSniffersnoop(Solaris)wireshark惡意代碼分析工具Chrootkitrootkit檢查工具RootkithunterWEB檢測(cè)工具包分類(lèi)命令&工具&文件相關(guān)說(shuō)明WEB檢測(cè)工具IIS日志分析findstr系統(tǒng)自帶的字符搜索工具logParser各類(lèi)常見(jiàn)Windows日志的自動(dòng)化分析工具Apache日志分析grep系統(tǒng)自帶的字符搜索工具技術(shù)指南Windows檢測(cè)技術(shù)Windows常規(guī)檢測(cè)用戶檢查開(kāi)始菜單—運(yùn)行—輸入compmgmt.msc，選擇“系統(tǒng)工具〞—“本地用戶和組〞，即可查看所有本地用戶和組的信息〔包括用戶名以$結(jié)尾的隱藏用戶，如：admin$〕 檢查克隆用戶可以使用工具LP_Check.exe進(jìn)程及啟動(dòng)項(xiàng)進(jìn)程信息可以使用wsyscheck.exe工具查看〔窗口上半局部〕，紅色的條目代表非微軟進(jìn)程，可能是第三方應(yīng)用程序的進(jìn)程。紫色的條目代表微軟進(jìn)程，但進(jìn)程中注入了非微軟的模塊。點(diǎn)擊進(jìn)程的名稱(chēng)，窗口下半局部將顯示出注入此進(jìn)程的模塊名。對(duì)于非微軟進(jìn)程〔紅色〕和微軟進(jìn)程中注入的非微軟的模塊〔紫色〕，需要重點(diǎn)檢查。系統(tǒng)開(kāi)機(jī)啟動(dòng)項(xiàng)可以使用autoruns.exe工具查看，啟動(dòng)程序后，建議啟用數(shù)字簽名檢查，選擇“Options〞—“VerfifyCodeSignatures〞后，點(diǎn)擊F5鍵刷新， 分析結(jié)果時(shí)，需要重點(diǎn)檢查“Description〞列中沒(méi)有描述信息的條目，和“Publisher〞列中標(biāo)記為“〔NotVerified〕〞的條目。效勞、模塊及驅(qū)動(dòng)效勞和模塊信息可以使用wsyscheck.exe工具中“效勞管理〞查看，重點(diǎn)檢查紅色的條目系統(tǒng)開(kāi)放的端口及對(duì)應(yīng)的進(jìn)程可以點(diǎn)擊“平安狀態(tài)〞—“端口狀態(tài)〞查看日志與文件系統(tǒng)日志 系統(tǒng)日志記錄著Windows系統(tǒng)及其各種效勞運(yùn)行的每個(gè)細(xì)節(jié)，起著非常重要的作用，默認(rèn)情況下，Window的系統(tǒng)日志存放在c:\windows\system32\config，分別為：AppEvent.Evt〔應(yīng)用程序日志〕SecEvent.Evt〔平安性日志〕SysEvent.Evt〔系統(tǒng)日志〕我們可以使用系統(tǒng)自帶的“事件查看器〞查看方案任務(wù)日志存放在c:\windows\SchedLgU.Txt瀏覽器歷史記錄存放在：C:\DocumentsandSettings\用戶名\LocalSettings\History臨時(shí)文件存放在：C:\DocumentsandSettings\用戶名\LocalSettings\TemporaryInternetFilesCookie文件存放在：C:\DocumentsandSettings\用戶名\Cookies通過(guò)瀏覽器的歷史記錄、臨時(shí)文件及cookie等信息，可判斷用戶的上網(wǎng)行為。IIS日志IIS日志存放在：c:\windows\system32\logfiles\W3SVCx\exYYMMDD.log〔常見(jiàn)IIS日志分析，可參考“WEB檢測(cè)技術(shù)〞章節(jié)〕網(wǎng)絡(luò)連接使用tcpview可用于檢測(cè)當(dāng)前系統(tǒng)中的進(jìn)程及其對(duì)應(yīng)的連接狀態(tài)，其中，當(dāng)進(jìn)程標(biāo)記為綠色時(shí)表示該連接為新發(fā)起的連接，當(dāng)進(jìn)程被標(biāo)記為紅色時(shí)表示該連接為結(jié)束狀態(tài)。Windows惡意代碼監(jiān)測(cè)本章節(jié)描述了常見(jiàn)惡意代碼檢查工具的使用方法和技巧，同時(shí)列舉了常見(jiàn)惡意程序的原理和分類(lèi)，不能完整覆蓋全部惡意程序。如需要了解更多的惡意程序查殺實(shí)例，請(qǐng)參考《常見(jiàn)惡意程序查殺指南》。PE文件修改病毒檢測(cè)PE文件被稱(chēng)為可移植的執(zhí)行體，是PortableExecute的縮寫(xiě)，常見(jiàn)的EXE、SRC、DLL、OCX、SYS都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件〔可能是間接被執(zhí)行，如DLL〕。很多惡意代碼喜歡通過(guò)修改PE文件來(lái)到達(dá)不同的目的，或自啟動(dòng)或隱藏。因此也誕生了許多精巧的PE文件修改技術(shù)。但是時(shí)至今日，我們可以用非常簡(jiǎn)單的方法檢測(cè)系統(tǒng)中被修改的PE文件。Sigverif.exe是微軟提供的一款文件簽名驗(yàn)證小工具。在“開(kāi)始→運(yùn)行〞對(duì)話框中鍵入“sigverif.exe〞，即會(huì)激活此工具。如以下圖所示。Sigverif不僅可以驗(yàn)證系統(tǒng)文件，還可以驗(yàn)證非系統(tǒng)文件，點(diǎn)“高級(jí)〞后，指定要驗(yàn)證的文件夾，選擇“包括子文件夾〞，就可以一個(gè)不漏地進(jìn)行驗(yàn)證了。對(duì)驗(yàn)證結(jié)果，sigverif不會(huì)顯示簽名者，只會(huì)提示通過(guò)驗(yàn)證或不通過(guò)，沒(méi)有通過(guò)即顯示出來(lái)。通過(guò)此工具，很快能夠檢測(cè)到機(jī)器狗更改系統(tǒng)文件userinit.exe，日志掃描出來(lái)后，userinit.exe沒(méi)有通過(guò)簽名驗(yàn)證、沒(méi)有公司標(biāo)識(shí)，因此初步判斷此文件肯定有問(wèn)題，經(jīng)分析發(fā)現(xiàn)，機(jī)器狗通過(guò)修改此文件實(shí)現(xiàn)自啟動(dòng)。交換數(shù)據(jù)流木馬檢測(cè)NTFS因?yàn)樗姆€(wěn)定性強(qiáng)大的功能以及它所提供的平安性而成為一種更優(yōu)越的文件系統(tǒng)，NTFS交換數(shù)據(jù)流(alternatedatastreams，簡(jiǎn)稱(chēng)ADSs)是為了和Macintosh的HFS文件系統(tǒng)兼容而設(shè)計(jì)的，它使用資源派生來(lái)維持與文件相關(guān)的信息，比方說(shuō)圖標(biāo)及其他的東西。而微軟提供了一種方法通過(guò)Windowsexplorer來(lái)創(chuàng)立特殊的ADSs，檢測(cè)這種特殊的ADSs的必要工具和功能相當(dāng)缺乏。MicrosoftKnowledgeBase中Q101353號(hào)文章成認(rèn)了基于API的win32不能很好的支持ADSs。NTFS交換數(shù)據(jù)流是NTFS磁盤(pán)格式的一個(gè)特性，在NTFS文件系統(tǒng)下，每個(gè)文件都可以存在多個(gè)數(shù)據(jù)流，就是說(shuō)除了主文件流之外還可以有許多非主文件流寄宿在主文件流中。它使用資源派生來(lái)維持與文件相關(guān)的信息，雖然我們無(wú)法看到數(shù)據(jù)流文件，但是它卻是真實(shí)存在于我們的系統(tǒng)中的。既然NTFS交換數(shù)據(jù)流是NTFS磁盤(pán)格式的一種特性，那么對(duì)我們有什么危害呢？從上文的定義中我們可以知道NTFS系統(tǒng)中的一個(gè)普通文件是可以擁有多個(gè)數(shù)據(jù)流文件的，而數(shù)據(jù)流文件的格式卻沒(méi)有限制，并且當(dāng)我們運(yùn)行這個(gè)文件時(shí)，其附帶的數(shù)據(jù)流文件也會(huì)運(yùn)行，這說(shuō)明什么呢？這就表示如果黑客將木馬程序作為數(shù)據(jù)流文件捆綁于正常的文件中，當(dāng)用戶運(yùn)行這個(gè)文件，就會(huì)同時(shí)運(yùn)行木馬程序。更可怕的是，由于兼容性的問(wèn)題，系統(tǒng)自帶的任務(wù)管理器、進(jìn)程管理器等工具都不能很好的檢測(cè)到NTFS交換數(shù)據(jù)流。因此NTFS交換數(shù)據(jù)流技術(shù)常常被黑客利用來(lái)隱藏文件、進(jìn)程。下面我們來(lái)詳細(xì)的看看NTFS交換文件流的利用方法。隱藏信息在任一NTFS分區(qū)下翻開(kāi)CMD命令提示符，輸入echoabcde>>a.txt:b.txt，那么在當(dāng)前目錄下會(huì)生成一個(gè)名為a.txt的文件，但文件的大小只有0字節(jié)，翻開(kāi)后也無(wú)任何內(nèi)容，只有當(dāng)我們鍵入命令notepada.txt:b.txt才能看見(jiàn)寫(xiě)入的abcde。在上邊的命令中，a.txt可以不存在。也可以是某個(gè)已存在的文件，文件格式無(wú)所謂，無(wú)論是.txt還是jpg,bmp,com,exe都行，b.txt也可以任意指定文件名以及后綴名。這樣就可以將任意文本信息隱藏于任意文件中，只要不泄露冒號(hào)后的虛擬文件名〔即b.txt〕，別人是根本不會(huì)查看到隱藏信息的。而且在已經(jīng)使用NTFS交換數(shù)據(jù)流制造了隱藏信息后，包含隱藏信息的文件仍然可以繼續(xù)隱藏其他的內(nèi)容，例如abcde已經(jīng)包含在a.txt:b.txt中，我們?nèi)匀豢梢允褂妹頴cho12345>>a.txt:c.txt建立新的包含隱藏信息的流文件，在命令行下使用notepada.txt:c.txt翻開(kāi)后會(huì)發(fā)現(xiàn)12345這段信息，而abcde仍然存在于a.txt:b.txt中絲毫不受影響。隱藏文件我們要使用到的命令跟上面的大同小異，命令格式為：type文件名+后綴>>任意文件名+原文件后綴，比方type1.jpg>>abc.def:2.jpg，就是將1.jpg的內(nèi)容寫(xiě)入到abc.def:2.jpg這個(gè)交換數(shù)據(jù)流文件中，abc.def可以隨便換，最好是使用正常的文件，這樣隱蔽性會(huì)更強(qiáng)。翻開(kāi)隱藏文件時(shí)就要注意了，如果用來(lái)翻開(kāi)文件的程序是系統(tǒng)自帶的〔位于系統(tǒng)目錄下〕，直接輸入程序名就可以了：但如果是使用另外的程序翻開(kāi)的話就要是加上完整的路徑，且流文件也要帶上完整的路徑。例如使用畫(huà)圖工具翻開(kāi)abc.def:2.jpg，命令格式應(yīng)該是mapaintabc.def:2.jpg，而如果使用ACDSee9翻開(kāi)的話，命令格式就應(yīng)該是D:\ACDSee9\ACDSee8.exeD:\abc.def:2.jpg注意上面的2.jpg，后綴最好跟原文件一致，不然使用第三方軟件翻開(kāi)時(shí)可能會(huì)出錯(cuò)。比方type1.jpg>>abc.def:2.jjj，使用Windows自帶的畫(huà)圖工具可以順利翻開(kāi)，但使用ACDSee9翻開(kāi)時(shí)卻提示數(shù)據(jù)格式不可識(shí)別，必須改成.jpg后綴才可以翻開(kāi)。同理，其他文件也可以這樣隱藏，只要翻開(kāi)時(shí)根據(jù)后綴名找到對(duì)應(yīng)的程序就行了，而且也可以像隱藏信息那樣隱藏多個(gè)文件。捆綁木馬仍然是使用上面隱藏文件的方法，運(yùn)行的命令格式為：start.exe交換數(shù)據(jù)流文件路徑，需要帶上完整的路徑，不然會(huì)提示參數(shù)不正確。例如我們?cè)谙到y(tǒng)目錄提示符下通過(guò)下面這條命令建立了一個(gè)數(shù)據(jù)交換流c:\windows\system32>typemuma.exe>notepad.exe:muma.exe，接著使用start.exec:\windows\system32\notepad.exe:muma.exe即可運(yùn)行木馬程序。在winxpsp1之前的系統(tǒng)上，當(dāng)我們翻開(kāi)任務(wù)管理器時(shí)，我們只能看到notepad.exe的進(jìn)程，而查看不到muma.exe！考前須知流文件不能直接通過(guò)網(wǎng)絡(luò)傳輸，也不能使用WinRAR進(jìn)行普通壓縮后傳輸，那樣會(huì)喪失信息，必須在壓縮時(shí)選擇高級(jí)選項(xiàng)里的“保存文件流數(shù)據(jù)〞才行。流文件必須要在NTFS分區(qū)下才能運(yùn)行，一旦放到其他的文件系統(tǒng)分區(qū)中，即使再放回來(lái)，也會(huì)造成NTFS數(shù)據(jù)流的喪失。NTFS交換數(shù)據(jù)流技術(shù)在winxpsp2之后，做了一定的修正。當(dāng)我們運(yùn)行一個(gè)數(shù)據(jù)流文件時(shí)，在進(jìn)程管理器中可以看到完整的數(shù)據(jù)流文件信息，而不是像以前那樣，只能看到它所依附的文件進(jìn)程。但是很有意思的是，即使在winxpsp3的機(jī)器上，依然能夠通過(guò)這種方式來(lái)實(shí)現(xiàn)信息隱藏及文件隱藏。那么在實(shí)戰(zhàn)中，黑客通常是如何使用這種技術(shù)呢？因?yàn)镹TFS數(shù)據(jù)流文件的特性，它不可能通過(guò)網(wǎng)絡(luò)傳播，黑客通常是使用Winrar將數(shù)據(jù)流文件進(jìn)行打包來(lái)進(jìn)行攻擊的。首先在文件格式為NTFS的盤(pán)符文件夾里放好宿主文件和木馬程序，這里分別是HijackThis.exe和muma.exe。進(jìn)入命令提示符，在test文件目錄下利用type命令將muma.exe以交換數(shù)據(jù)流的形式注入到HijackThis.exe里，之后你可以通過(guò)屬性查看HijackThis.exe文件的大小，前后是不會(huì)發(fā)生任何變化的。利用WINRAR，將已經(jīng)注入了木馬程序的宿主添加到壓縮文件。需要注意的是在“高級(jí)〞選項(xiàng)中勾選“保存文件數(shù)據(jù)流〞?？梢詫ijackThis.exe和muma.exe刪除了，之后我們翻開(kāi)已經(jīng)壓縮好的HijackThis.rar。選擇右上角的“自解壓格式〞。在“自解壓格式〞標(biāo)簽的“自解壓模塊〞中選中“Default.SFX〞，然后點(diǎn)擊“高級(jí)自解壓選項(xiàng)〞。在其“常規(guī)〞標(biāo)簽的“解壓后運(yùn)行〞中填入“HijackThis.exe:muma.exe〞。切換到“模式〞標(biāo)簽，勾選其中的“全部隱藏〞、“覆蓋所有文件〞。全部設(shè)置完成后點(diǎn)擊“確定〞。這樣我們就得到了一個(gè)新的HijackThis.exe，為了欺騙性更大黑客可以把它重命名為“setup.exe〞。當(dāng)我們翻開(kāi)這個(gè)setup.exe，或者對(duì)其解壓安裝的時(shí)候，已經(jīng)注入其中的muma.exe就自動(dòng)運(yùn)行了，由于它是以NTFS交換數(shù)據(jù)流的形式存在于這個(gè)setup.exe當(dāng)中，所以無(wú)法通過(guò)windows自帶的搜索或者dir命令找到，甚至可以騙過(guò)殺毒軟件的搜索引擎。數(shù)據(jù)流木馬雖然隱蔽，但是防范的方法還是有的。首先對(duì)于Winrar的自解壓文件我們一定要小心，可以選擇用Winrar翻開(kāi)自解壓文件而不是雙擊翻開(kāi)。其次，可以使用一些專(zhuān)業(yè)的NTFS數(shù)據(jù)流檢查工具，找出隱藏在系統(tǒng)中的惡意文件。專(zhuān)業(yè)檢測(cè)NTFS數(shù)據(jù)流文件的工具有Sfind.exe、Streams.exe、lads.exe等，這里我們以lads.exe為例進(jìn)行介紹。lads.exe是一個(gè)命令下的工具，需要在“命令提示符〞中使用。在“命令提示符〞中運(yùn)行l(wèi)ads.exe，程序會(huì)自動(dòng)檢測(cè)當(dāng)前目錄中的NTFS數(shù)據(jù)流文件，如果要檢測(cè)子目錄中的數(shù)據(jù)流文件，可以在lads.exe運(yùn)行的同時(shí)添加一個(gè)參數(shù)“/s〞，這樣就可以檢測(cè)到子目錄中的數(shù)據(jù)流文件了。對(duì)指定文件夾進(jìn)行檢測(cè)時(shí)，可以使用“l(fā)ads.exe文件夾路徑〞命令。線程注入木馬檢測(cè)線程注入隱藏技術(shù)是木馬采用的最流行的技術(shù)之一。線程技術(shù)指的是通過(guò)在另一個(gè)進(jìn)程中創(chuàng)立遠(yuǎn)程線程的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。采用線程插入技術(shù)，實(shí)際上就是以非進(jìn)程的方式執(zhí)行目標(biāo)代碼，逃避進(jìn)程查看器的檢查，從而到達(dá)“進(jìn)程隱藏〞的目的。在宿主進(jìn)程中，以線程的方式執(zhí)行木馬代碼。這樣，使用查看進(jìn)程的方法很難發(fā)現(xiàn)木馬線程的運(yùn)行。線程注入的技術(shù)是一種“性價(jià)比〞比擬高的技術(shù)，在很多惡意代碼中都能看到這種技術(shù)的身影。比方插入線程到系統(tǒng)進(jìn)程或者在后臺(tái)開(kāi)啟一個(gè)ie進(jìn)程，然后再插入線程。本技術(shù)門(mén)檻相比照擬低，而且在隱藏和穿透防火墻方面有非常好的表現(xiàn)，再配合一些rootkit技術(shù)，能夠讓惡意代碼隱藏的更深。下面介紹兩種簡(jiǎn)單的線程注入木馬的檢測(cè)方法。Processexplorer檢測(cè)線程注入如以下圖所示，檢測(cè)可疑進(jìn)程空間下加載的未通過(guò)數(shù)字簽名驗(yàn)證的dll文件。IceSword檢測(cè)線程注入在icesword的工具包中有個(gè)叫Cooperator壓縮包，用rar解壓縮。其中有一個(gè)叫IsHelp.exe的小工具。要利用這個(gè)小工具，首先要運(yùn)行icesword.exe。選中可疑進(jìn)程，單擊右鍵，在彈出下拉菜單中選中線程分析。在IsHelp.exe線程分析的結(jié)果中，我們看到了它會(huì)標(biāo)注了可疑的線程。Spi木馬檢測(cè)Winsock2SPI是一個(gè)新特性，是為書(shū)寫(xiě)效勞提供者的人員提供的。Winsock2不僅提供了一個(gè)供給用程序訪問(wèn)網(wǎng)絡(luò)效勞的Windowssocket應(yīng)用程序編程接口〔API〕，還包含了由傳輸效勞提供者和名字解析效勞提供者實(shí)現(xiàn)的Winsock效勞提供者接口〔SPI〕和ws2_32.dll。在此以傳輸效勞提供者為例來(lái)實(shí)現(xiàn)進(jìn)程的隱藏。如下是應(yīng)用程序，Ws2_32.dll和傳輸效勞提供者接口之間的層次關(guān)系：|Windowssocket2應(yīng)用程序|Windowssocket2API|WS2_32.DLL|Windowssocket2傳輸SPI|傳輸效勞提供者〔DLL〕|基于這個(gè)原理，SPI木馬的穿透防火墻的性能比擬好，只要有程序能上網(wǎng)，它就能回連到控制端。正是這個(gè)原因，SPI木馬曾今風(fēng)行一時(shí)，比方說(shuō)早期比擬典型的blueangle。下面以blueangle為例來(lái)介紹spi木馬的使用、檢測(cè)方法。在win2003〔46〕上翻開(kāi)木馬程序所在文件夾。生成采用端口反彈方式工作的木馬程序。將木馬程序通過(guò)飛秋〔局域網(wǎng)共享程序〕傳到一臺(tái)XP〔36〕主主機(jī)上。在XP上將傳輸過(guò)來(lái)的木馬程序點(diǎn)擊運(yùn)行，木馬程序運(yùn)行后無(wú)法在任務(wù)管理器中看到，我們可以通過(guò)autoruns〔微軟自帶的SysinternalsSuite工具包來(lái)完成，翻開(kāi)autoruns.exe，找到如下圖。在win2003〔46〕主機(jī)上用nc去連接被掛馬的主機(jī)xp〔36〕，連接成功，如下圖，可以通過(guò)help查看具體的操作命令。ActiveX自啟動(dòng)木馬檢測(cè)早期，這種自啟動(dòng)方式在國(guó)內(nèi)的木馬中出現(xiàn)的并不是很多，主要是一些國(guó)外的木馬對(duì)這種自啟動(dòng)方式比擬偏愛(ài)。比方非常著名的木馬PoisonIvy就采用了這種自啟動(dòng)方式。ActiveX啟動(dòng)其實(shí)非常簡(jiǎn)單，僅僅是在注冊(cè)表中HKEY_LOCAL_MACHINE下的Software\Microsoft\ActiveSetup\InstalledComponents\中注冊(cè)一條信息就可以了。這條信息的鍵類(lèi)似{36f8ec70-c29a-11d1-b5c7-0000f8051515}就可以。其實(shí)，我們可以隨便的更改這些數(shù)字，只要不重復(fù)就可以了，而且我們還可以在這個(gè)鍵的下面新增子鍵StubPath和子鍵的值，如c:\Windows\system32\muma.exe即可。這樣系統(tǒng)每次啟動(dòng)就會(huì)運(yùn)行c:\Windows\system32\muma.exe這個(gè)程序。這里有一個(gè)疑問(wèn)，前面我們提到的{36f8ec70-c29a-11d1-b5c7-0000f8051515}這是什么？其實(shí)這就是GUID，即全球唯一標(biāo)識(shí)，對(duì)應(yīng)著ActiveX接口的唯一標(biāo)識(shí)。GUID是一個(gè)字母數(shù)字標(biāo)識(shí)符，用于指示產(chǎn)品的唯一性安裝。在許多流行軟件應(yīng)用程序〔例如Web瀏覽器和媒體播放器〕中，都使用GUID。GUID的格式為“xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx〞，其中每個(gè)x是0-9或a-f范圍內(nèi)的一個(gè)十六進(jìn)制的數(shù)字。例如：6F9619FF-8B86-D011-B42D-00C04FC964FF即為有效的GUID值。為什么要用GUID？世界上的任何兩臺(tái)計(jì)算機(jī)都不會(huì)生成重復(fù)的GUID值。GUID主要用于在擁有多個(gè)節(jié)點(diǎn)、多臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)或系統(tǒng)中，分配必須具有唯一性的標(biāo)識(shí)符。在Windows平臺(tái)上，GUID應(yīng)用非常廣泛：注冊(cè)表、類(lèi)及接口標(biāo)識(shí)、數(shù)據(jù)庫(kù)、甚至自動(dòng)生成的機(jī)器名、目錄名等。下面看一下poisonlvy配置及檢測(cè)方法。翻開(kāi)木馬所在文件夾，找到毒藥程序。新建一個(gè)效勞器端程序profile，我們這里命名為goods。配置goods的客戶端連接地址，這里的截圖為本機(jī)的，我們可以在這里配置為46，及上線主機(jī)都默認(rèn)連接這臺(tái)主機(jī)。我們這里選擇木馬的啟動(dòng)方式為ActiveX。這里默認(rèn)就可以，下方的injectserverintothedefaultbrowser為默認(rèn)插入一個(gè)explorer中來(lái)隱藏。這里也選擇默認(rèn)，當(dāng)然也可以選擇加殼。選擇generate生成效勞器端把效勞器端木馬程序傳到另外一臺(tái)XP主機(jī)上(36〕稍等一會(huì)兒后主機(jī)上線目標(biāo)主機(jī)上ActiveX在注冊(cè)表中的保存位置。端口復(fù)用木馬檢測(cè)端口復(fù)用木馬曾經(jīng)一度非常流行。因?yàn)樵趙in2000之前的系統(tǒng)〔微軟在windows2003之后的操作系統(tǒng)做了修改，系統(tǒng)效勞所開(kāi)啟的端口已經(jīng)不能重用了〕，大局部端口都是可以重復(fù)綁定的，假設(shè)木馬復(fù)用受害主機(jī)的系統(tǒng)端口時(shí)，其隱蔽性是非常好的。下面我們來(lái)看一個(gè)實(shí)例：wxhshell。Wxhshell是一款很有代表性的后門(mén)，在這款后門(mén)里采用了端口復(fù)用技術(shù)，因此可以突破一些防火墻。而且其運(yùn)行不影響正常端口的工作。此后門(mén)對(duì)于采用了獨(dú)占方式的端口無(wú)法綁定，經(jīng)測(cè)試XP系統(tǒng)端口135，445，1025，1028，1045無(wú)法綁定，其他端口根本上都可以。下面看看其使用及檢測(cè)方法。首先我們看看實(shí)驗(yàn)環(huán)境。在我的win2000server的效勞器上，配置好了iis，而且我在虛擬機(jī)上保存了一張百度的首頁(yè)作為虛擬機(jī)的web首頁(yè)。當(dāng)我們?cè)L問(wèn)://46/index.htm，首頁(yè)出現(xiàn)，說(shuō)明iis效勞正常、80端口開(kāi)啟正常。下面，我們就使用Wxhshell來(lái)重用效勞器80端口。接下來(lái)，拷貝Wxhshell程序到虛擬機(jī)系統(tǒng)目錄，翻開(kāi)命令行程序，準(zhǔn)備安裝。Wxhshell的安裝非常簡(jiǎn)單，只需要一個(gè)參數(shù)，就是重用端口號(hào)。在命令提示符下輸入命令：Wxhshell80。即重用80端口安裝。這時(shí)，木馬就安裝好了?？纯词欠衲軌蜻B接后門(mén)程序。輸入命令telnet80，連接成功，出現(xiàn)木馬提示符“PleaseInputYourPassword:〞，輸入默認(rèn)密碼“xuhuanlingzhe〞，返回shell，連接成功。很顯然，我們成功復(fù)用了web效勞器的80端口，通過(guò)80端口獲取了shell。如以下圖所示，可以看出進(jìn)程Wxhshell、inetinfo同時(shí)綁定在80端口。IAThookrootkit檢測(cè)當(dāng)應(yīng)用程序使用另一個(gè)庫(kù)中的函數(shù)時(shí)，必須導(dǎo)入該函數(shù)的地址。如前所述，使用Win32API的大多數(shù)應(yīng)用程序都是通過(guò)IAT來(lái)執(zhí)行該動(dòng)作。應(yīng)用程序所用的所有DLL都包含在該應(yīng)用程序的文件系統(tǒng)映像的IMAGE_IMPORT_DESCRIPTOR結(jié)構(gòu)中。這個(gè)結(jié)構(gòu)包含了應(yīng)用程序?qū)氲暮瘮?shù)所屬的DLL名，以及兩個(gè)IMAGE_IMPORT_BY_NAME數(shù)組指針，IMAGE_IMPORT_BY_NAME結(jié)構(gòu)包含了應(yīng)用程序所使用的導(dǎo)入函數(shù)的名稱(chēng)。操作系統(tǒng)將應(yīng)用程序加載到內(nèi)存時(shí)，分析這些IMAGE_IMPORT_DESCRIPTOR結(jié)構(gòu)，并將所需的全部DLL加載到該應(yīng)用程序的內(nèi)存中。一旦映射了DLL之后，操作系統(tǒng)就在內(nèi)存中定位每個(gè)導(dǎo)入的函數(shù)，并使用函數(shù)的實(shí)際地址來(lái)重寫(xiě)一個(gè)IMAGE_IMPORT_BY_NAME數(shù)組。(要學(xué)習(xí)WindowsPE格式中各種數(shù)據(jù)結(jié)構(gòu)的更多知識(shí)，參見(jiàn)MattPietrek的文章。)一旦rootkit的鉤子函數(shù)處于應(yīng)用程序的地址空間中，rootkit就可以分析內(nèi)存中目標(biāo)應(yīng)用程序的PE格式，并將IAT中目標(biāo)函數(shù)的地址替換為鉤子函數(shù)的地址。然后，當(dāng)調(diào)用目標(biāo)函數(shù)時(shí)，就會(huì)執(zhí)行鉤子函數(shù)而不是原始函數(shù)。圖4.2解釋了hookIAT后的控制流程。從圖4.2中可看出，這是一種非常強(qiáng)大卻又相當(dāng)簡(jiǎn)單的技術(shù)。但它也存在著缺點(diǎn)：這些類(lèi)型的鉤子比擬容易被發(fā)現(xiàn)。另一方面，諸如此類(lèi)的鉤子經(jīng)常得到使用，甚至操作系統(tǒng)自身在一個(gè)稱(chēng)為DLL轉(zhuǎn)發(fā)(DLLforwarding)的進(jìn)程中也用到它。即使有人試圖檢測(cè)rootkit鉤子，但區(qū)分良性鉤子和惡意鉤子仍然是困難的。該技術(shù)的另一個(gè)問(wèn)題涉及到綁定時(shí)間。一些應(yīng)用程序采用后期按需綁定技術(shù)。這種綁定方法在調(diào)用函數(shù)時(shí)才解析函數(shù)地址，從而減少了應(yīng)用程序所需的內(nèi)存量。當(dāng)rootkit試圖鉤住這些函數(shù)時(shí)，IAT中可能不存在它們的地址。如果應(yīng)用程序通過(guò)LoadLibrary和GetProcAddress來(lái)尋找函數(shù)地址，IAT鉤子將不會(huì)起作用。下面來(lái)看一個(gè)演示程序，這個(gè)演示程序通過(guò)IAT鉤子hook了MessageboxA函數(shù)，實(shí)現(xiàn)了MessageBoxA函數(shù)參數(shù)的替換。執(zhí)行demo程序iatdemo.exe，執(zhí)行效果為彈出對(duì)話框“HookMessageBox函數(shù)成功！〞。查看程序源碼，預(yù)期的MessageBox“這是正常的！〞未出現(xiàn)，IAThook改變了程序原來(lái)的執(zhí)行流程。使用工具IATHooksAnalyzer，查看進(jìn)程iatdemo.exe，可觀察到USER32.dll中的MessageBoxA函數(shù)被hook。INLINEhookrootkit檢測(cè)Windows用戶模式rootkit-Inlinehook是用替換目標(biāo)API的指令序列改變執(zhí)行流程使之運(yùn)行我們hook程序的一種方法。然后恢復(fù)API開(kāi)頭的指令序列，繼續(xù)執(zhí)行合法的API。下面看一個(gè)實(shí)例rootkit-AFXRootkit2005翻開(kāi)程序所在文件夾。執(zhí)行程序隱藏命令：start.exec\winnt\rewt\root.exe/I。這樣程序就把自身的目錄隱藏起來(lái)了通過(guò)CMD進(jìn)入到rewt目錄。我們用iceword查看進(jìn)程情況，發(fā)現(xiàn)有個(gè)root.exe的進(jìn)程標(biāo)紅，被隱藏起來(lái)了。通過(guò)iceword的高級(jí)掃描模式發(fā)現(xiàn)有很多函數(shù)都被inlinehook了，把大約87個(gè)被hook了的函數(shù)進(jìn)行恢復(fù)，然后我們看進(jìn)程里root.exe就沒(méi)有了，而且被隱藏的文件夾就出現(xiàn)了。SSDThookrootkit檢測(cè)SSDT的全稱(chēng)是SystemServicesDescriptorTable，系統(tǒng)效勞描述符表。這個(gè)表就是一個(gè)把ring3的Win32API和ring0的內(nèi)核API聯(lián)系起來(lái)的索引表。SSDT中存放了所有系統(tǒng)效勞函數(shù)的入口地址。系統(tǒng)效勞調(diào)度程序通過(guò)查找SSDT來(lái)調(diào)用相應(yīng)的系統(tǒng)效勞。因此，Rootkit可以將SSDT中的系統(tǒng)效勞地址替換為自己代碼的地址。這樣，當(dāng)調(diào)用系統(tǒng)效勞時(shí)，實(shí)際運(yùn)行的是Rootkit代碼，由Rootkit代碼調(diào)用真正的系統(tǒng)效勞并對(duì)結(jié)果作相應(yīng)處理。例如，ZwQuerySystemInformation是系統(tǒng)列舉進(jìn)程時(shí)須調(diào)用的系統(tǒng)效勞，通過(guò)掛鉤它來(lái)實(shí)現(xiàn)進(jìn)程的隱藏。下面用一個(gè)ssdthook的demo程序來(lái)演示ssdt木馬檢測(cè)、ssdthook的恢復(fù)。用InstDrv工具安裝例如驅(qū)動(dòng)basic_mdl_flags.sys并加載執(zhí)行。該驅(qū)動(dòng)hook了ZwQuerySystemInformation函數(shù)，實(shí)現(xiàn)了隱藏以_root_開(kāi)頭的進(jìn)程的功能。執(zhí)行程序_root_.exe，在任務(wù)管理器中無(wú)法看到此進(jìn)程在運(yùn)行，可比照使用冰刃可以看到該隱藏進(jìn)程。使用冰刃查看系統(tǒng)SSDT，可觀察到被hook的ZwQuerySystemInformation函數(shù)當(dāng)前地址與原始值不一致。冰刃中用右鍵恢復(fù)改SSDT，再次執(zhí)行_root_.exe，該進(jìn)程在任務(wù)管理器中恢復(fù)顯示。SYSENTERhootrootkit檢測(cè)Intelx86平臺(tái)上的WindowsXP系統(tǒng)用SYSENTER指令取代中斷，使系統(tǒng)陷入系統(tǒng)效勞調(diào)用程序(AMD平臺(tái)上的WindowsXP使用syscall指令實(shí)現(xiàn)相同功能)，相應(yīng)產(chǎn)生了新的Hook方法，即把IA32_SYSENTER_EIP存放器的值修改為要運(yùn)行的Rootkit代碼的地址。下面用sysenterhookdemo程序演示sysenterhook檢測(cè)。用InstDrv工具安裝例如驅(qū)動(dòng)sysenter.sys并加載執(zhí)行。使用SysProt工具檢查kernelhooks，可觀察到Sysenter函數(shù)被sysenter.sys做了hook。IRPhookrootkit檢測(cè)IRP〔I/ORequestPacket即I/O請(qǐng)求包)，驅(qū)動(dòng)與驅(qū)動(dòng)之間通過(guò)IRP進(jìn)行通信。而使用驅(qū)動(dòng)的應(yīng)用層調(diào)用的CreatFile,ReadFile,WriteFile,DeviceIoControl等函數(shù)，說(shuō)到底也是使用IRP和驅(qū)動(dòng)進(jìn)行通信。以下圖描述了在IRP請(qǐng)求過(guò)程中發(fā)生hook的情況。下面以irphookdemo程序演示irphook使用、檢測(cè)。用InstDrv工具安裝例如驅(qū)動(dòng)irphook.sys并加載執(zhí)行。該驅(qū)動(dòng)hook了IRP_MJ_DEVICE_CONTROL的處理函數(shù)，隱藏了所有WEB連接〔遠(yuǎn)程端口為80的TCP連接〕，用web瀏覽器翻開(kāi)goolge頁(yè)面，使用netstat-an命令無(wú)法看到連接建立的狀態(tài)。使用SysProt工具檢查irphook，可觀察到tcpip.sys中的IRP_MJ_DEVICE_CONTROL的處理函數(shù)被hook。DKOMrootkit檢測(cè)對(duì)于Windows2000/xp/2003等系統(tǒng)都具有描述進(jìn)程，線程的對(duì)象，任務(wù)管理器、ZwQuerySystemInformation函數(shù)就是利用這些對(duì)象來(lái)列出機(jī)器上的運(yùn)行進(jìn)程。每個(gè)進(jìn)程和線程都有描述它們的結(jié)構(gòu)，描述進(jìn)程的是EPROCESS結(jié)構(gòu)，描述線程的是ETHREAD結(jié)構(gòu)。EPROCESS結(jié)構(gòu)中有個(gè)雙向鏈表LIST_ENTRY結(jié)構(gòu)，這個(gè)結(jié)構(gòu)有兩個(gè)DWORD指針成員FLINK和BLINK，這兩個(gè)指針?lè)謩e指向當(dāng)前進(jìn)程的前一個(gè)和后一個(gè)進(jìn)程。要隱藏當(dāng)前進(jìn)程只要把當(dāng)前進(jìn)程從這個(gè)雙向鏈表中刪掉即可。這種rootkit采用的技術(shù)就是從雙向鏈表中刪除當(dāng)前進(jìn)程。如圖：下面看一個(gè)DKOMrootkit的實(shí)例-fu：在命令行下，運(yùn)行fu命令，列出fu的功能：列出系統(tǒng)進(jìn)程、以pid為參數(shù)隱藏進(jìn)程、隱藏驅(qū)動(dòng)、設(shè)置進(jìn)程權(quán)限為系統(tǒng)權(quán)限……選中需要隱藏的進(jìn)程，運(yùn)行fu-ph8，這里8是指system進(jìn)程的pid，然后從任務(wù)管理器查看就看不到了，我們只能用像Iceword之類(lèi)的工具查看隱藏進(jìn)程，以下圖標(biāo)紅顯示。UNIX/Linux檢測(cè)技術(shù)UNIX/Linux常規(guī)檢測(cè)用戶檢查查看系統(tǒng)所有用戶信息可以使用命令cat/etc/passwd 各列由冒號(hào)隔開(kāi)，分別表示“用戶名〞“密碼加密〞“用戶ID〞“用戶組ID〞“注釋〞“用戶主目錄〞“默認(rèn)登錄shell〞。 檢查中需要與管理員確認(rèn)是否有可疑用戶，“用戶ID〞列中，一般情況下應(yīng)該只有root的ID是0，其他用戶的ID如果設(shè)置為0，即擁有root權(quán)限。進(jìn)程及啟動(dòng)項(xiàng)查看系統(tǒng)進(jìn)程可以使用命令ps-eaf“UID〞列表示啟動(dòng)進(jìn)程的用戶名“PID〞列表示進(jìn)程的PID值“STIME〞列表示進(jìn)程的啟動(dòng)時(shí)間“TIME〞列表示進(jìn)程已經(jīng)運(yùn)行的時(shí)間“CMD〞列表示啟動(dòng)進(jìn)程的命令強(qiáng)制結(jié)束進(jìn)程可以使用命令kill-9進(jìn)程的PID值例如：我使用ps命令查看到系統(tǒng)正在運(yùn)行一個(gè)進(jìn)程viroot25352383020:29tty100:00:00vi使用kill命令強(qiáng)制結(jié)束vi進(jìn)程[root@centos~]#kill-92535效勞及模塊查看系統(tǒng)效勞可以使用命令chkconfig–list，列出每個(gè)效勞在各運(yùn)行級(jí)別下是否開(kāi)機(jī)自啟動(dòng)查看系統(tǒng)當(dāng)前運(yùn)行級(jí)可以使用命令who–r〔以下圖中列出當(dāng)前運(yùn)行級(jí)runlevel是3〕 /etc/inittab /etc/inittab是系統(tǒng)初始化文件，操作系統(tǒng)啟動(dòng)后會(huì)自動(dòng)加載此文件，文件以冒號(hào)分隔為4個(gè)字段：identifier:run_level:action:process各字段說(shuō)明如下：identifier：登記項(xiàng)標(biāo)識(shí)符，最多為4個(gè)字符。用于惟一地標(biāo)識(shí)/etc/inittab文件中的每一個(gè)登記項(xiàng)run_level：系統(tǒng)運(yùn)行級(jí)，即執(zhí)行登記項(xiàng)的init級(jí)別。用于指定相應(yīng)的登記項(xiàng)適用于哪一個(gè)運(yùn)行級(jí)，即在哪一個(gè)運(yùn)行級(jí)中被處理。如果該字段為空，那么相應(yīng)的登記項(xiàng)將適用于所有的運(yùn)行級(jí)。在該字段中，可以同時(shí)指定一個(gè)或多個(gè)運(yùn)行級(jí)，其中各運(yùn)行級(jí)分別以數(shù)字.4.5.6或字母a、b、c表示，且無(wú)需對(duì)其進(jìn)行分隔。action：動(dòng)作關(guān)鍵字。用于指定init(M)命令或進(jìn)程對(duì)相應(yīng)進(jìn)程〔在“process〞字段定義〕所實(shí)施的動(dòng)作。具體動(dòng)作包括：1．boot：只有在引導(dǎo)過(guò)程中，才執(zhí)行該進(jìn)程，但不等待該進(jìn)程的結(jié)束；當(dāng)該進(jìn)程死亡時(shí)，也不重新啟動(dòng)該進(jìn)程。2．bootwait：只有在引導(dǎo)過(guò)程中，才執(zhí)行該進(jìn)程，并等待進(jìn)程的結(jié)束：當(dāng)該進(jìn)程死亡時(shí)，也不重新啟動(dòng)該進(jìn)程。實(shí)際上，只有在系統(tǒng)被引導(dǎo)后，并從單用戶方式進(jìn)入多用戶方式時(shí)，這些登記項(xiàng)才被處理；如果系統(tǒng)的默認(rèn)運(yùn)行級(jí)設(shè)置為2〔即多用戶方式〕，那么這些登記項(xiàng)在系統(tǒng)引導(dǎo)后將馬上被處理。3．initdefault：指定系統(tǒng)的默認(rèn)運(yùn)行級(jí)。系統(tǒng)啟動(dòng)時(shí)，init將首先查找該登記項(xiàng)。如果存在init將據(jù)此決定系統(tǒng)最初要進(jìn)入的運(yùn)行級(jí)。具體來(lái)說(shuō)，init將指定登記項(xiàng)“run_level"字段中的最大數(shù)字〔即最高運(yùn)行級(jí)〕為當(dāng)前系統(tǒng)的默認(rèn)運(yùn)行級(jí)；如果該字段為空，那么將其解釋為“0123456〞，并以“6〞作為默認(rèn)運(yùn)行級(jí)。如果不存在該登記項(xiàng)，那么init將要求用戶在系統(tǒng)啟動(dòng)時(shí)指定一個(gè)最初的運(yùn)行級(jí)。4．off：如果相應(yīng)的進(jìn)程正在運(yùn)行，那么就發(fā)出一個(gè)警告信號(hào)，等待20秒后，再通過(guò)殺死信號(hào)強(qiáng)行終止該進(jìn)程。如果相應(yīng)的進(jìn)程并不存在那么就忽略該登記項(xiàng)。5．once：?jiǎn)?dòng)相應(yīng)的進(jìn)程，但不等待該進(jìn)程結(jié)束便繼續(xù)處理/etc/inittab文件中的下一個(gè)登記項(xiàng)；當(dāng)該進(jìn)程死亡時(shí)，init也不重新啟動(dòng)該進(jìn)程。注意：在從一個(gè)運(yùn)行級(jí)進(jìn)入另一個(gè)運(yùn)行級(jí)時(shí)，如果相應(yīng)的進(jìn)程仍然在運(yùn)行，那么init就不重新啟動(dòng)該進(jìn)程。6．ondemand：與“respawn〞的功能完全相同，但只用于運(yùn)行級(jí)為a、b或c的登記項(xiàng)。7．powerfail：只在init接收到電源失敗信號(hào)時(shí)執(zhí)行相應(yīng)的進(jìn)程，但不等待該進(jìn)程結(jié)束。8．powerwait：只在init接收到電源失敗信號(hào)時(shí)執(zhí)行相應(yīng)的進(jìn)程，并在繼續(xù)對(duì)/etc/inittab文件進(jìn)行任何處理前等待該進(jìn)程結(jié)束。網(wǎng)管u家u.bitscn@com9．respawn：如果相應(yīng)的進(jìn)程還不存在，那么init就啟動(dòng)該進(jìn)程，同時(shí)不等待該進(jìn)程的結(jié)束就繼續(xù)掃描/etc/inittab文件；當(dāng)該進(jìn)程死亡時(shí)，init將重新啟動(dòng)該進(jìn)程。如果相應(yīng)的進(jìn)程已經(jīng)存在，那么init將忽略該登記項(xiàng)并繼續(xù)掃描/etc/inittab文件。10．sysinit：只有在啟動(dòng)或重新啟動(dòng)系統(tǒng)并首先進(jìn)入單用戶時(shí)，init才執(zhí)行這些登記項(xiàng)。而在系統(tǒng)從運(yùn)行級(jí)1－6進(jìn)入單用戶方式時(shí)，init并不執(zhí)行這些登記項(xiàng)。"action〞字段為“sysinit〞的登記項(xiàng)在“run_level〞字段不指定任何運(yùn)行級(jí)。11．wait：?jiǎn)?dòng)進(jìn)程并等待其結(jié)束，然后再處理/etc/inittab文件中的下一個(gè)登記項(xiàng)。process：所要執(zhí)行的shell命令。任何合法的shell語(yǔ)法均適用于該字段。根據(jù)以上說(shuō)明仔細(xì)查看/etc/inittab中是否有可疑項(xiàng)加載，下面舉一個(gè)系統(tǒng)被安裝后門(mén)后/etc/inittab中的相關(guān)語(yǔ)句#0:2345:once:/usr/sbin/ttyload /etc/crontabcrontab方案任務(wù)的配置文件分兩種，一種是全局方案任務(wù)配置文件：/etc/crontab，還有一類(lèi)是用戶的方案任務(wù)配置文件，位于：/var/spool/cron/，這兩個(gè)地方需要我們仔細(xì)檢查，確認(rèn)是否有后門(mén)在此加載。日志與文件系統(tǒng)日志Unix操作系統(tǒng)有很多在應(yīng)急響應(yīng)中可以提供重要線索的日志文件,不僅有和登錄,啟動(dòng),關(guān)閉等系統(tǒng)活動(dòng)有關(guān)的日志,還有和網(wǎng)絡(luò)效勞相關(guān)的日志，Linux存放在/var/log下，Solaris存放在/var/adm下。〔1〕syslog日志syslog日志文件是最重要的文件，存放Unix內(nèi)部程序和子系統(tǒng)的事件，我們可以通過(guò)修改配置文件/etc/syslog.conf來(lái)控制syslog的活動(dòng)。linux的syslog信息存放在/var/log/messages中，solaris中的信息存放在/var/adm/messages中〔2〕su日志攻擊者很多時(shí)候會(huì)利用su命令試圖獲取對(duì)系統(tǒng)root訪問(wèn)權(quán)限，Unix記錄了系統(tǒng)上每次對(duì)執(zhí)行su命令的嘗試，日志顯示試圖執(zhí)行su命令的時(shí)間和日期等信息。下面是一段/var/log/messages中的日志記錄Mar2211:11:34abcPAM_pwdb[999]:authenticationfailure;cross(uid=500)->rootforsuservice此類(lèi)提升權(quán)限的信息需要我們引起足夠的重視，很有可能是入侵者留下的痕跡?！?〕cron日志cron指Unix允許用戶設(shè)定在某一時(shí)間執(zhí)行程序，日志文件默認(rèn)記錄在/var/log/cron中〔4〕登錄日志通過(guò)ssh登錄的信息，存放在/var/log/secure中，下面是一個(gè)ssh暴力破解密碼的日志記錄〔5〕shell日志bash的歷史記錄存放在用戶主目錄下.bash_history中，用戶所有輸入的命令都會(huì)記錄，如果攻擊者未刪除此日志，就可以仔細(xì)分析并判斷攻擊者的行為，比方：攻擊者得到一個(gè)低權(quán)限用戶，然后編譯漏洞利用程序提升權(quán)限，在這里就可以記錄他輸入的命令?！?〕apache日志Apache效勞器提供了非常全面而靈活的日志記錄功能，利用Apache的日志文件可以反應(yīng)出效勞器的訪問(wèn)信息，錯(cuò)誤信息等。主要包含Apache訪問(wèn)日志access_log和錯(cuò)誤日志error_log等以rpm方式安裝的apache的日志存放在/var/log/d中〔如圖〕，使用源碼安裝的apache的日志存放在apache安裝目錄log文件夾中SUID文件SUID代表SetUserID,SGID代表SetGroupID，當(dāng)一個(gè)可執(zhí)行文件被設(shè)置SUID時(shí)，任何用戶運(yùn)行此文件時(shí)，都將以文件屬主的權(quán)限執(zhí)行，如圖：passwd命令被設(shè)置SUID我們可以使用find命令搜索硬盤(pán)中所有SUID文件，注意觀察搜索結(jié)果，看是否有可疑文件。find/-perm-004000–typef–printRPM完整性檢查在Linux系統(tǒng)下可以使用rpm–V<軟件包名>來(lái)判斷軟件包中的文件是否被修改，例如：也可以使用rpm–Va命令來(lái)列出系統(tǒng)中所有發(fā)生過(guò)修改的軟件包〔包括可執(zhí)行文件、配置文件等〕。命令將列出校驗(yàn)失敗的文件，含義如下：S大小改變M權(quán)限改變5MD5改變L連接改變D設(shè)備改變U用戶改變G組改變T日期和時(shí)間改變missing文件喪失網(wǎng)絡(luò)連接查看系統(tǒng)當(dāng)前開(kāi)放的端口可以使用命令netstat–anp，列出本機(jī)開(kāi)放的端口，端口對(duì)應(yīng)的進(jìn)程的PID值，連接狀態(tài)等信息 使用命令lsof–i也可以查看系統(tǒng)當(dāng)前開(kāi)放的端口及端口對(duì)應(yīng)的進(jìn)程的PID值等信息UNIX/Linux惡意代碼監(jiān)測(cè)本章節(jié)描述了常見(jiàn)惡意代碼檢查工具的使用方法和技巧，同時(shí)列舉了常見(jiàn)惡意程序的原理和分類(lèi)，不能完整覆蓋全部惡意程序。如需要了解更多的惡意程序查殺實(shí)例，請(qǐng)參考《常見(jiàn)惡意程序查殺指南》。用戶模式rootkit-lrk5檢測(cè)LRK5是一種工作在用戶級(jí)〔ring3)下的rootkit，通過(guò)替換系統(tǒng)原有文件的方式實(shí)現(xiàn)隱藏功能。檢測(cè)方式主要有兩種：1、文件完整性工具Tripwire需要基準(zhǔn)校驗(yàn)庫(kù)2、專(zhuān)用rootkit檢測(cè)工具ChkrootkitRootkithunterRootkit-redstorm使用檢測(cè)1、下載解壓redstorm壓縮包toolkit.gz，使用./install安裝。2、安裝后可只用/bin/…/hate/sk命令執(zhí)行隱藏等操作。3、使用rkhunter–c命令可檢查出系統(tǒng)感染r3dstormrootkit。LKMRootkit-Adore使用檢測(cè)根據(jù)系統(tǒng)的類(lèi)型，攻擊者有不同的方法來(lái)對(duì)內(nèi)核進(jìn)行修改，在N種Unix系統(tǒng)上修改內(nèi)核最簡(jiǎn)單的方法就是利用系統(tǒng)本身的加載的內(nèi)核模塊(LKM)的功能，因此大多數(shù)的內(nèi)核級(jí)Rootkit通過(guò)利用LKM動(dòng)態(tài)地將內(nèi)核更新來(lái)提供新功能，新添加的模塊擴(kuò)展了內(nèi)核，修改了系統(tǒng)調(diào)用表，同時(shí)對(duì)內(nèi)核和其他使用內(nèi)核的所有東西有了完全訪問(wèn)權(quán)。下面看一個(gè)LKMrootkit實(shí)例-Adore：編譯運(yùn)行adore，configure后需修改Makefile中的INC為系統(tǒng)對(duì)應(yīng)位置。relink時(shí)選擇一個(gè)LKM，使用startadore運(yùn)行adore。使用adore隱藏某進(jìn)程，找到gedit的pid為2113，使用./avai2113命令隱藏該進(jìn)程，以下第二個(gè)截圖中的gedit被隱藏。使用adore隱藏文件a，執(zhí)行avah./a后用ls–a命令無(wú)法看到文件a，執(zhí)行avau./a后，文件a恢復(fù)顯示。使用rkhunter-c命令檢測(cè)系統(tǒng)，可看到8個(gè)可疑文件。/dev/kmenrootkit使用檢測(cè)/dev/kmem包含內(nèi)核自身存儲(chǔ)空間印象，當(dāng)前正在運(yùn)行的內(nèi)核代碼也位于這局部?jī)?nèi)存空間中。通過(guò)/dev/kmem修改內(nèi)存中的內(nèi)核，Sd和Devik編寫(xiě)代碼搜索/dev/kemen，查找系統(tǒng)調(diào)用表，例如：SYS_open、SYS_read、SYS_execve然后通過(guò)下面兩個(gè)自己實(shí)現(xiàn)的函數(shù)來(lái)到達(dá)修改系統(tǒng)調(diào)用表的目的，從而實(shí)現(xiàn)rootkit功能。rkm(readkernelmemory)讀取內(nèi)核空間各個(gè)有用的項(xiàng)wkm(writekernelmemory)直接向內(nèi)核存儲(chǔ)空間寫(xiě)入代碼下面看下/dev/kmenrootkit實(shí)例-suckit編譯生成可執(zhí)行程序sk。使用命令./deps，make。初次使用./sk或./skC命令，配置suckit，選擇隱藏文件的前綴及根目錄，同時(shí)配置密碼。運(yùn)行sk，輸入密碼后，可使用skhpid隱藏進(jìn)程。使用工具檢測(cè)檢測(cè)未發(fā)現(xiàn)明顯異常。可依據(jù)警告項(xiàng)或無(wú)法檢測(cè)的工程進(jìn)一步分析。WEB檢測(cè)技術(shù)WEB日志分析IIS日志IIS日志路徑IIS日志默認(rèn)保存在%systemroot%\system32\LogFiles\目錄下對(duì)于虛擬主機(jī)，可使用findweb.vbs腳本進(jìn)行檢查，詳情參考本文檔HYPERLINK\s"1,9962,9967,4094,標(biāo)題4〔綠盟科技〕,日志與文件"節(jié)。IIS日志格式定義注：每條日志記錄的時(shí)間均為GMT標(biāo)準(zhǔn)時(shí)間，計(jì)算時(shí)間需要GMT+8Apache日志Apache日志路徑Linux系統(tǒng)中，apache的訪問(wèn)日志默認(rèn)位置為/var/log/d/access.logWindwos系統(tǒng)中，apache的訪問(wèn)日志默認(rèn)位置為apache安裝目錄下的logs目錄中的access.log。假設(shè)日志不在默認(rèn)路徑，可查看配置文件d.conf中CustomLog字段。Apache日志格式定義--[30/Apr/2023:14:56:00+0800]"GET/index.php/1.0"2005172[30/Apr/2023:14:56:00+0800]"GET/index.php/1.0"2005172遠(yuǎn)程IP地址訪問(wèn)時(shí)間請(qǐng)求路徑狀態(tài)值傳輸數(shù)據(jù)大小注：默認(rèn)配置的apache日志只記錄common類(lèi)型，apache對(duì)common類(lèi)型的默認(rèn)定義為L(zhǎng)ogFormat"%h%l%u%t\"%r\"%>s%b"common，這些信息缺乏以支撐一般的行為分析，建議使用combined類(lèi)型，combined類(lèi)型的默認(rèn)定義為L(zhǎng)ogFormat"%h%l%u%t\"%r\"%>s%b\"%{Referer}i\"\"%{User-Agent}i\""combined〔也可以根據(jù)用戶需求自定義〕。啟用方法為：注釋掉默認(rèn)使用的CustomLoglogs/access.logcommon將#CustomLog"logs/access.log"combined前的注釋符去掉以將其啟用。重新啟動(dòng)apache或kill–HUP`cat/var/run/d.pid`。WEB事件分析遠(yuǎn)程掃描遠(yuǎn)程掃描行為一般通過(guò)兩方面進(jìn)行判斷：1、時(shí)間連續(xù)性；2、User-Agent時(shí)間連續(xù)性當(dāng)WEB日志除出現(xiàn)在極短時(shí)間內(nèi)的對(duì)不同頁(yè)面且來(lái)自同一IP地址的連續(xù)訪問(wèn)請(qǐng)求，那么可認(rèn)為該IP地址對(duì)主機(jī)發(fā)起掃描。User-Agent2.1、IIS日志大局部掃描器在掃描時(shí)，會(huì)構(gòu)造自己特有的User-Agent字段。通過(guò)搜索User-Agent字段中的特殊值可以判斷掃描行為。IIS日志，可使用logparser進(jìn)行自動(dòng)化檢索，命令格式：logparser-i:iisw3c-o:csv"select*intolog.csvfromex081028.logwherecs(User-Agent)LIKE'%Some-User-Agent-Keyword%'"參數(shù)解釋?zhuān)?i:iisw3c，-i〔input〕參數(shù)含義為輸入文件的類(lèi)型，這里為IIS日志，假設(shè)忽略該參數(shù)，那么logparser會(huì)自動(dòng)檢查格式-o:csv，-o〔output〕定義了輸出格式，這里輸出格式為CSV，如果忽略該參數(shù)，那么在標(biāo)準(zhǔn)輸出上輸出結(jié)果Select…intofile.csvfromfile.log，從file.log日志中選擇特定的字段，并將結(jié)果寫(xiě)入file.csv文件中，如果沒(méi)有-o參數(shù)，那么此處應(yīng)忽略intofile.csvSelect…cs(User-Agent)LIKE%keywords%，LIKE用于實(shí)現(xiàn)模糊匹配，如：此處就實(shí)現(xiàn)了對(duì)cs(User-Agent)字段的匹配，檢查該字段中是否包含keyword。2.2、Apache日志〔UNIX/Linux〕對(duì)于apache日志，假設(shè)想通過(guò)User-Agent篩選，那么需選擇記錄combined格式的日志.。篩選方式可通過(guò)簡(jiǎn)單的grep進(jìn)行，命令格式：grep-i"Some-User-Agent-Keyword"access.log參數(shù)解釋?zhuān)?i：不區(qū)分大小寫(xiě)注入攻擊在WEB日志中進(jìn)行注入分析時(shí)，可通過(guò)對(duì)請(qǐng)求的關(guān)鍵字進(jìn)行過(guò)濾，以檢測(cè)可能出現(xiàn)的注入攻擊。但在默認(rèn)配置下，IIS和Apache日志均不記錄POST數(shù)據(jù)和COOKIE內(nèi)容，因此只能檢測(cè)基于URL方式的GET注入。IIS日志過(guò)濾logparser-i:iisw3c-o:csv"select*intolog.csvfromex081028.logwherecs-uri-queryLIKE'%select%'"以上命令對(duì)cs-uri-query字段進(jìn)行過(guò)濾，查找關(guān)鍵字select類(lèi)似的關(guān)鍵字還包括：;,and,|,exec,insert,select,delete,update,count,*,%,chr,mid,master,truncate,char,declare〔使用逗號(hào)分隔〕Apache日志過(guò)濾grep-i"GET.*\.php?.*=.*union.*select.*"apache.log查找形如GET/xxx.php?id=10unionselect…..的請(qǐng)求URL型跨站腳本URL型跨站大多是由于通過(guò)URL傳遞參數(shù)到程序后，程序?qū)?shù)未做過(guò)濾而直接展示在頁(yè)面上，從而形成跨站。IIS日志過(guò)濾logparser"select*fromex081028.logwherecs-uri-queryLIKE'%script%'"Apache日志過(guò)濾grep-i"GET.*\<script\>.*"apache.log錯(cuò)誤參數(shù)構(gòu)造局部程序在接收參數(shù)時(shí)，不但未對(duì)參數(shù)進(jìn)行過(guò)濾，還未對(duì)參數(shù)是否在程序的處理范圍之內(nèi)也未做檢查，如：一些存在問(wèn)題的下載程序往往會(huì)將下載目標(biāo)文件作為其參數(shù)，而在用戶傳遞下載目標(biāo)文件這一參數(shù)給下載程序時(shí)，程序本身不對(duì)參數(shù)進(jìn)行嚴(yán)格過(guò)濾，因此可能導(dǎo)致用戶惡意下載一些非授權(quán)文件和源程序。IIS日志過(guò)濾logparser"select*fromex081028.logwherecs-uri-stemLIKE'%article/show.asp%'andcs-uri-querynotLIKE'%normal%'"其中cs-uri-stem用于標(biāo)明請(qǐng)求目標(biāo)為arctile/show.asp文件，cs-uri-query為對(duì)目標(biāo)頁(yè)面show.asp發(fā)出的請(qǐng)求，該語(yǔ)句用于查找所有對(duì)arctile/show.asp文件發(fā)起的請(qǐng)求字符串中不包含normal字符串的日志。即，對(duì)arctile/show.asp的正常請(qǐng)求中，必定包含字符串normal，當(dāng)惡意用戶進(jìn)行構(gòu)造時(shí)，可能會(huì)修改原有的正常字符串normal。同理，也可以搜索用戶所關(guān)心的內(nèi)容，如：logparser"select*fromex081028.logwherecs-uri-stemLIKE'%download.asp%'andcs-uri-queryLIKE'%.asp%'"檢查所有對(duì)download.asp發(fā)起的請(qǐng)求中，是否包含“.asp〞。Apache日志過(guò)濾假設(shè)index.php接受正常請(qǐng)求格式為：index.php?img=xxxLogoyyy以下grep語(yǔ)句用于過(guò)濾所有index.php接受img參