蓝队技能-应急响应篇Rookit后门进程提取网络发现隐藏技术Linux杀毒OpenArk

知识点：

1、应急响应-Windows-Rootkit-分析&清除
2、应急响应-Linux-Rootkit-分析&查毒&清除

内存马和rookit都是属于权限维持技术，
内存马一般是用来控制网站，rookit一般是用来控制服务器（隐藏常规C2后门）

综合分析工具箱
https://github.com/BlackINT3/OpenArk

一、演示案例：蓝队技能-Rookit技术-Win系统&进程隐藏&网络隐藏

演示项目：https://bytecode77.com/r77-rootkit
进程隐藏，网络隐藏，文件隐藏，注册表，启动项等

1、进程隐藏

2、网络链接隐藏

3、文件隐藏

应急思路-如果识别到什么项目rookit可以下载工具还原

应急思路-识别不到的情况下采用发现隐藏进程网络等项目

火绒剑（可检测到隐藏进程）

unhide （可检测到隐藏进程，网络隐藏）

https://www.unhide-forensics.info/

隐藏进程


处置知道隐藏的进程PID号可以用命令结束掉

网络隐藏

如果用防火墙封禁本地的49170端口是没用的，因为后门还会换个端口继续链接，一般防火墙封禁远程的端口才有用。

二、演示案例：蓝队技能-Rookit技术-linux系统&进程隐藏&网络隐藏

演示项目：https://github.com/f0rb1dd3n/Reptile
进程隐藏，网络隐藏，文件隐藏，隐藏的引导持久性等

1、进程隐藏

2、网络隐藏

应急项目-unhide （可检测到隐藏进程，网络隐藏）

https://www.unhide-forensics.info/
安装使用：https://mp.weixin.qq.com/s/LnqArTrAytMKtitGvplNug
一个小巧的网络取证工具，能够发现那些借助rootkit、LKM及其它技术隐藏的进程和TCP/UDP端口。

应急项目-clamav（可检测到各类系统恶意后门文件等）

https://www.clamav.net/
开源的反病毒引擎，用于检测和删除各种恶意软件，包括病毒、木马、间谍软件等

安装使用：
https://mp.weixin.qq.com/s/QL44BbioDcYt6B17L-pTfQ

扫码全部内容：
clamscan /

只扫描/bin/目录：
clamscan /bin/

递归扫描home目录，将病毒文件删除，并且记录日志：
clamscan -r -i /home --remove -l /var/log/clamav.log

扫描指定目录，然后将感染文件移动到指定目录，并记录日志：
clamscan -r -i /home --move=/tmp/clamav -l /var/log/clamav.log

常需要扫描的重点目录：
clamscan -r -i /etc --max-dir-recursion=5 -l /var/log/clamav-etc.logclamscan -r -i /bin --max-dir-recursion=5 -l /var/log/clamav-bin.logclamscan -r -i /usr --max-dir-recursion=5 -l /var/log/clamav-usr.logclamscan -r -i /var --max-dir-recursion=5 -l /var/log/clamav-var.log

查看病毒文件：
cat /var/log/clamav-bin.log | grep “FOUND”