后门攻击检测指南：Rookit、内存马、权限维持（WIN&Linux）

第163天应急响应-后门攻击检测指南Rookit内存马权限维持WINLinux_小迪安全2022_免费在线阅读收听下载 - 喜马拉雅

1. Rookit 检测
   Rookit是一种恶意软件，通常用于在目标系统上执行代码并维持权限。要检测Rookit，可以使用以下工具和方法：
2. GScan：一款用于检测Rookit的Python工具。在命令行中运行python GScan.py。
3. rkhunter：一款开源的Linux恶意软件扫描和检测工具。从官网下载并编译安装。在终端中运行rkhunter -c进行扫描。
4. 内存马检测
   内存马是一种无文件木马，它只在内存中运行，没有文件落地。要检测内存马，可以使用以下方法：
5. 检查内存中的异常行为和可疑类。可以使用调试工具（如GDB、Ollydbg）在内存中查找和分析可疑代码。
6. 使用内存马查杀工具，如河马内存马查杀工具。
7. 权限维持检测
   权限维持是指攻击者在获得目标系统权限后，采取措施维持这些权限。要检测权限维持，可以检查以下方面：
8. 启动项：检查系统中是否存在可疑的启动项，如启动文件、注册表键等。
9. 隐藏用户：检查系统中是否存在隐藏用户，并查看其行为是否异常。
10. 映像劫持：检查系统中是否存在映像劫持，如打开记事本操作变成了打开计算器等。
11. 常规检测方法
12. 火绒剑、PC hunter：用于检测和分析系统中的可疑程序。
13. 网络流量分析：检查网络流量，分析是否存在异常数据包。
14. 威胁感知平台：将可疑程序上传至威胁感知平台，以获取更多关于恶意软件的信息。
15. 操作系统
    在Windows和Linux操作系统中，可以使用上述方法检测Rookit、内存马和权限维持。请根据实际操作系统和恶意软件类型选择合适的方法进行检测。