蓝盾实训营day6——日志查看和木马清除

开启服务器日志

根据应用服务器的不同，有不同的日志开启方法，具体方法直接百度就行，比较简单。开启日志之后，用web扫描工具对网站进行扫描，利用文件上传漏洞进行挂马，然后我们可以查看日志，如果发现有未知页面被客户端访问，则可能发生了挂马行为，查找服务器有没有该木马文件，有就删掉。

apache-php开启日志方法

打开文件:
Apache/conf/httpd
找到：
#CustomLog "logs/access.log" combined
把井号注释去掉，保存，重启apache服务，日志就开启了。

用web扫描工具扫描一下，然后打开access.log文件查看日志：

可以看到网站有被扫描过的痕迹。

木马捆绑

工具：万能文件免杀捆绑器
用处：将木马文件伪装成正常文件诱导用户点击运行

这个工具没有免杀功能，免杀的话自己加壳效果才好。

点击添加文件，把木马文件和要捆绑的文件添加进来（选择释放运行），点击选择图标，选择文件它会自动把图标拉进来，最后点捆绑文件，就会生成捆绑后的文件。

把捆绑后的文件放到靶机上点击运行，被捆绑的文件和我们的木马文件都会运行。

木马清除

环境

样本木马：QQ盗号木马OSO.exe
工具：
1. IceSword（冰刃）：禁止进程启动
2. Process Hacker：查看可疑进程
3. Autoruns：解决自动启动

如果上诉工具打不开的话需要对他们进行改名。

查看可疑进程

打开样本木马后，使用regedit无法打开注册表，然后我们打开Process Hacker查看到3个可疑进程：

删除任意一个进程都会使他们重启，解决办法就是三个进程同时杀掉，这样他们就不能相互唤醒了。

但当我们再次用regedit打开注册表的时候，有新的进程将他们唤醒：

解决镜像劫持（程序唤醒）

到这里，我们可以怀疑一下是镜像劫持导致的，用Autoruns的Image Hijacks工具，把所有镜像删掉：

可以看到，打开这些程序都会同时执行avipit.exe，然后这个exe文件会唤醒其他三个木马文件。

来自百度百科：所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger=”C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件，类似文件关联的效果。

这时候用regedit就能成功过打开注册表，同时不唤醒木马；但是重启电脑之后，木马文件又重新启动了，这时候我们用冰刃查看系统启动项：

解决开机自启

打开注册表，把这两个木马文件名的键删掉（直接用AutoRuns中的everything也可以找到这两个启动项，删掉即可）：

彻底清除木马文件

在C://WINDOSW/System32下把木马文件删掉：
因为病毒做了文件隐藏，所以用冰刃中的文件管理来做这一步操作。

以下文件全都需要清除：

C:\WINDOWS\system32\drivers\conime.exe
C:\WINDOWS\system32\mmlucj.exe
C:\WINDOWS\system32\severe.exe
C:\windows\system32\drivers\avipit.exe