后门的学习与清理

win后门学习

方法老了，但思路学习不能停

win

用户后门、程序后门、账号后门

隐藏管理员

设置密码

打开注册表

然后刷新一下就出来了、

复制全部

然后support的names，从而找到users的16进制，然后进行把F的值进行黏贴过去，确定

清理痕迹

把之前设置的everyone用户删除

然后远程连接

打不开尝试

Remote Desktop Help Session Manager服务，
Terminal Services服务，
Workstation服务
将这三个服务设置成启动
mstsc /v:IP /console

这样做是因为创建用户会对server 2003的document and settings 有用户家产生新的文件

克隆管理员会更隐秘

LPK.dll后门

在软件下对应热键设置启动方式

然后

生成lpk.dll文件

（在没有lpk的情况下，会自动加载win的system32的lpk.dll如果目录有，会优先加载lpk.dll的文件，放exe，触发运行加载）

从而替换粘连键、调出后门

在指定内容运行触发

然后远程登陆，不输入用户名密码

按5次shift

然后在粘连键提示按cx同时

就会调出后门

输入设置密码就行

木马后门

生成文件用上兴2014，用cs免杀，这个还得单学，2333

linux后门学习

直接ssh暴力破解...

其他方法根本不太可能

除非你一直摸他的电脑

清理痕迹的认识

看文件日期是否出现异常

历史命令

日志

linux

一般在var/log/httpd/access_log

然后查看

还有

etc/httpd/logs/access_log

离谱一

if 存在文件包含漏洞
在对网站进行访问，后缀加一句话，然后对日志进行访问，从而webshell

进行批量替换

:%s/真实ip/猜测ip/g

vim还得学，不熟悉了

touch * / 
把文件所有日期都改完

清空历史

history -c

指定删除历史(指定行删除)

history -d 行数

编辑批量删除

先查找history(一般都是~/.bash_history)
find / -name history
然后vim
刷新一下 history -r

利用echo清除

echo > history路径

window清理

直接软件...

这个批处理清理所有日志可还行

ECHO. 
FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I") 
exit

想起来要挂vpn，防止被发现地址

计算机的管理看事件查看--安全性--清除所有

然后等覆盖就行

---

还有就是网站的，我的是在iis上的

然后右键属性查看

一般路径在server 2003没有改变,都是c:\windows\system32\logfiles

然后根据日志文件明来看记录