一.取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建一个以 PID 命名的文件夹,在该文件夹下会有进程信息. ll /proc/xxxx 用lsof查看某个路径下的进程列表,木马文件在/usr/bin/下的文件拷贝出来备份. lsof /usr/bin/* 用pidof命令查看某个路径下进程的pid,判断有没有符合条件的木马文件: pidof /us…

一.取证特征 1)网络域名特征 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 2)文件特征 母体文件 mssecsvc.exe c:\\WINDOWS\\tasksche.exe c:\\WINDOWS\\qeriuwjhrf 3)系统现象 CPU占用率100% 4)系统补丁号 Windows XP SP3 KB4012598 Windows XP x64 SP2 KB4012598 Windows 2003 SP2 KB401…

chkrootkit检测时,发现一个Xor.DDoS内容,内容如下...Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed...最后通过国外的一篇文章,解决了此问题,因为/tmp下只要有可执行文件就会看到这个误报 参考: https://blog.whsir.com/post-2471.html…

1.网络特征 ant.trenz.pl ilo.brenz.pl 2.文件特征 通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件. 3.受感染特征 参考: [病毒分析]Virut.ce-感染型病毒分析报告 http://www.cnblogs.com/17bdw/p/7776877.html 4.证明正常进程空间里含有恶意代码 把受感染进程的内存dump出来,通过微软工具String将内存里的字符串打印出来,搜索IOC域名字符串就可以看到网…

一个windows下的ddos样本. 加载器 程序运行之后会在临时目录释放出一个256_res.tmp的文件 之后将该文件移动至system32目录下,以rasmedia.dll命名. 删除原文件. 加载开始释放的dll文件,并调用该dll导出的install函数.…

1.前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔记记录. 2.volatility-Windows命令 与分析Linux镜像相似,而Windows系统的profile都是volatility自带的,无需再制作. 选择元数据 imageinfo 查看正在分析的内存样本的摘要信息.显示主机所使用的操作系统版本.服务包以及硬件结构(32位或64位).页…

在Linux环境中可以通过方向键的上下按键查看近期键入的命令.但这种方法只能一个一个的查看,其实系统提供了查看所有历史命令的方法. 在终端中输入以下命令查看所有命令: history [root@template ~]# history ifconfig vim /etc/ssh/sshd_config /etc/init.d/sshd restart vim /boot/grub/grub.conf vim /etc/selinux/config vim /etc/sysconfig/netw…

a.关于DDos攻击的常见方法 1. SYN Flood:利用TCP协议的原理,这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务.TCP通道在建立以前,需要三次握手:a. 客户端发送一个包含SYN标志的TCP报文, 同步报文指明客户端所需要的端口号和TCP连接的初始序列号b. 服务器收到SYN报文之后,返回一个SYN+ ACK报文,表示客户端请求被接受,TC…

问题重述: 今天,突然找不到vm 的ip 了,但是可以从网卡状态上看到其 mac 地址,并且确定主机是启动状态,网络状态良好(后来发现因为子网掩码的问题,导致虚拟机和网关之间不通信,从而导致其他网络的主机不能访问,这个是另一个问题了.) 所以我们需要通过vm 的mac 地址来获取到vm 具体的 ip了. (1)linux中获取mac 地址可以通过 arp -a 命令,通过 grep 输出对应的mac 地址 (2)通过输出 /proc/net/arp 文件,通过 grep 筛选来获取对应的 ip…

http://www.linuxidc.com/Linux/2014-09/106285.htm http://www.th7.cn/system/lin/201403/51652.shtml DDOS清洗和流量行为分析…