后门

目前常见的php后门基本需要文件来维持,或者是脚本运行后删除自身,利用死循环驻留在内存里,不断主动外连获取指令并且执行。
最近在研究IFEO的相关项值时,发现了GlobalFlag这个特殊的项值,在进一步测试时,发现了一种基于IFEO的新后门利用方式。本着求知探索的科学精神。本文对此技术进行分析总结。
第一篇文章介绍了如何在系统事件日志中查找恶意的PowerShell脚本以及如何解码它们。在这篇文章中,我将讨论恶意PowerShell脚本可能隐藏的另一个位置——注册表。
很早以前我与黑客小伙伴们讨论时就诞生了这个想法,利用插件植入后门是实现持久化驻留的另一种方法。我们为什么不试一下在某些热门程序中植入后门呢?今天我们先来谈谈如何在一些热门软件的插件中植入后门。
从2014年11月起至今,黄金鼠组织(APT-C-27)对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。
这三个插件中后门的运作方式类似,都是调用一个远程服务器并在受影响站点中插入内容和链接。专家认为后门代码用于在受影响站点上注入隐藏的SEO垃圾(虚假链接),帮助改善其它站点的搜索引擎排名。
前段时间看了3gstudent师傅的文章,这篇文章中提到使用Logon Scripts实现登陆时运行脚本。复现的过程中我发现这种方法需要在磁盘上留下文件,隐蔽性不佳。我测试了另一个注册表键可用于无文件后门。
常见的后门大多数是利用Metasploit生成,而目前反病毒产品遇到Metasploit文件签名的程序就会添加特征库作为查杀对象,所以开发出自己的后门程序非常必要。