蓝盾实训营day6——日志查看和木马清除

    • 开启服务器日志
      • apache-php开启日志方法
    • 木马捆绑
    • 木马清除
      • 环境
      • 查看可疑进程
      • 解决镜像劫持(程序唤醒)
      • 解决开机自启
      • 彻底清除木马文件

开启服务器日志

根据应用服务器的不同,有不同的日志开启方法,具体方法直接百度就行,比较简单。开启日志之后,用web扫描工具对网站进行扫描,利用文件上传漏洞进行挂马,然后我们可以查看日志,如果发现有未知页面被客户端访问,则可能发生了挂马行为,查找服务器有没有该木马文件,有就删掉。

apache-php开启日志方法

打开文件:
Apache/conf/httpd
找到:
#CustomLog "logs/access.log" combined
把井号注释去掉,保存,重启apache服务,日志就开启了。

用web扫描工具扫描一下,然后打开access.log文件查看日志:
蓝盾实训营day6——日志查看和木马清除_第1张图片

可以看到网站有被扫描过的痕迹。

木马捆绑

工具:万能文件免杀捆绑器
用处:将木马文件伪装成正常文件诱导用户点击运行

这个工具没有免杀功能,免杀的话自己加壳效果才好。

蓝盾实训营day6——日志查看和木马清除_第2张图片

点击添加文件,把木马文件和要捆绑的文件添加进来(选择释放运行),点击选择图标,选择文件它会自动把图标拉进来,最后点捆绑文件,就会生成捆绑后的文件。

把捆绑后的文件放到靶机上点击运行,被捆绑的文件和我们的木马文件都会运行。

木马清除

环境

样本木马:QQ盗号木马OSO.exe
工具:
1. IceSword(冰刃):禁止进程启动
2. Process Hacker:查看可疑进程
3. Autoruns:解决自动启动

如果上诉工具打不开的话需要对他们进行改名。

查看可疑进程

打开样本木马后,使用regedit无法打开注册表,然后我们打开Process Hacker查看到3个可疑进程:
蓝盾实训营day6——日志查看和木马清除_第3张图片

删除任意一个进程都会使他们重启,解决办法就是三个进程同时杀掉,这样他们就不能相互唤醒了。

但当我们再次用regedit打开注册表的时候,有新的进程将他们唤醒:
这里写图片描述

解决镜像劫持(程序唤醒)

到这里,我们可以怀疑一下是镜像劫持导致的,用Autoruns的Image Hijacks工具,把所有镜像删掉:
蓝盾实训营day6——日志查看和木马清除_第4张图片

可以看到,打开这些程序都会同时执行avipit.exe,然后这个exe文件会唤醒其他三个木马文件。

来自百度百科:所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger=”C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。

这时候用regedit就能成功过打开注册表,同时不唤醒木马;但是重启电脑之后,木马文件又重新启动了,这时候我们用冰刃查看系统启动项:
蓝盾实训营day6——日志查看和木马清除_第5张图片

解决开机自启

打开注册表,把这两个木马文件名的键删掉(直接用AutoRuns中的everything也可以找到这两个启动项,删掉即可):
蓝盾实训营day6——日志查看和木马清除_第6张图片

彻底清除木马文件

在C://WINDOSW/System32下把木马文件删掉:
因为病毒做了文件隐藏,所以用冰刃中的文件管理来做这一步操作。
蓝盾实训营day6——日志查看和木马清除_第7张图片

以下文件全都需要清除:

C:\WINDOWS\system32\drivers\conime.exe
C:\WINDOWS\system32\mmlucj.exe
C:\WINDOWS\system32\severe.exe
C:\windows\system32\drivers\avipit.exe

你可能感兴趣的:(网络安全,蓝盾十天网络攻防实训营记录)