***版本的Modsecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》,这本书就提到了使用ssdeep来查找恶意软件(webshell是恶意软件的一种,安全领域是互通的嘛),本文介绍如何使用它来检测webshell。
一 、安装ssdeep
下载ssdeep并安装
tar zxvf ssdeep-2.12.tar.gzcd ssdeep-2.12./configuremakemake install
二、识别webshell实例
接下来我们下载一个webshell,试一试如何使用ssdeep来识别webshell
以b374k.php为例
首先获得webshell b374k.php的ssdeep hash(fuzzy hashing)值,并存储到b37_hashs.txt文件中
ssdeep -b webshell/b374k.php >b37_hashs.txt
cat b37_hashs.txt
ssdeep,1.1–blocksize:hash:hash,filename384:UsaSwsF3RtJhwhxY5janx0Rig5xJx52FRsBU0ipgFHF3xR:44snx0Rig5x752EBUxpc5,”b374k.php”
然后使用这个值来获得相似度,相似度为100(当然啦,因为没有做任何修改)
ssdeep -bm b37_hashs.txt webshell/b374k.php
b374k.php matches b37_hashs.txt:b374k.php (100)
为了方便理解,我们拿ssdeep与md5做类比
md5 webshell/b374k.php
MD5 (webshell/b374k.php) = b8d3f0f9ad8b1083f24072f8cfe13e04
我们知道对文件取md5值是用于验证文件的完整性的,因为它对任意的修改都能感受到(hash碰撞小概率事件除外)
而ssdeep则用于计算文件相似度,它是通过计算上下文相关的分段hash值(fuzzy hashing)来判断文件相似度的。
在识别webshell的场景中,我们可以先获取样本的ssdeep hash值,然后设置相似度范围,来识别同一系列的变形shell
想想一个小白黑客获得一个好用的webshell后,***件事会干嘛?肯定是改变登录账号密码
cp webshell/b374k.php webshell/b374k.php.bak
vim webshell/b374k.php.bak
想雁过留痕的,估计还会改webshell的title等文本来标记到此一游
心思稍微重点的想绕过WAF的童鞋,说不定还会修改cookie中的关键字
例如批量替换cookie txtauth关键字
修改完毕后,分别用md5与ssdeep来看发生了什么
md5 webshell/b374k.php.bak
MD5 (webshell/b374k.php.bak) = b8d3f0f9ad8b1083f24072f8cfe13e04
md5值发生了变化,说明webshell文本内容发生了变化
接着使用ssdeep来查看修改后的webshell的相似度
ssdeep -bm b37_hashs.txt webshell/*
b374k.php matches b37_hashs.txt:b374k.php (100) #原始webshellb374k.php.bak matches b37_hashs.txt:b374k.php (97)#修改了登录账号与作者标记b374k.php.bak2 matches b37_hashs.txt:b374k.php (88)#修改了登录账号、作者标记、cookie特征
***,我们选择一个合适的相似度来判断是否为webshell(真实场景中,调参找到合适的阈值才是考验人的活…)
例如,只筛选相似度90以上的
ssdeep -t 90 -bm b37_hashs.txt webshell/*
b374k.php matches b37_hashs.txt:b374k.php (100)b374k.php.bak matches b37_hashs.txt:b374k.php (97)
三、扩展
除了使用ssdeep来查找相似的恶意软件(静态文本),我们还可以逆向思维,根据相似度来判断混在正常进程中的恶意进程,依据是进程在运行时由于变量变化而发生的变动是轻微的,而代码被加壳后的的变化是相当显著的,例如UPX加壳会使相似度瞬降到0%
参考:
《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》
原文地址:
请教各位这款表是什么牌子,什么型号?出现于《惊天危机》电影中。
颂拓SUUNTO 芬兰户外运动手表CORE ALU DEEP BLACK 核心深黑铝 SS
怎样使用挖掘鸡软件?
挖掘鸡用于搜索以某种缺省形态存在的网页路径。 这样的页面由于没有链接关系,通过搜索引擎里很难找到。 具体应用就看个人想象力了,比如一个典型应用就是对某些黑软或黑客的上传习惯(文件名、密码等)进行分析,针对性的进行扫描来大量获取现成的webshell,比自己去找上传漏洞方便多了。 例如,扫,获取旁注软件的上传webshell,密码为空;...使用技巧:1、URL后缀,建议每次选1-2个即可;2、关键词,可以留空,用于爬虫捕获相关信息的地址列表;3、超时,验证每个url后缀的时间;请根据具体的网络条件和线程数来设定,会在很大程度上影响结果的准确性;4、线程数,不能大于100。
tik演过哪些电视剧
你好,很高兴为你解答!TIK——本名:杰西达邦。(超帅的男人)【电影作品】1997.4 喋血青春 Dang Bireley’s and Young Gangsters (อันธพาลครองเมือง Untapan Kongmueng 2499 )1997.12 雷人 Destiny UPSide Down (คนป่วนสายฟ้า Kon Buan Sai Fah )with Sonia Cooling1998.10 303勾魂名单303 Fear Faith Revenge (guest star) (กลัว/กล้า /อาฆาต 303 Klua Kla Akat )客串演出2000.3 人妖打排球 The Iron Ladies(สตรีเหล็ก Sateelek )2000.8 泰铢 Satang (สตางค์ Sstang)2003.3 人妖打排球Ⅱ The Iron Ladies II (สตรีเหล็ก Sateelek II ) 2003.9 爱的奇迹(恋人的奇迹、哨子)The Whistle ( คู่แท้ปา单龚厕夹丿蝗搽伟敞连;ฏิหาริย์ Koo Tae Pathiharn )2004.3 见鬼Ⅱ The Eye II ( คนเห็นผี 2)2006.4 江湖五怪(海盗王) The Magnificent Five (พระ เด็ก เสือ ไก่ วอก Pra Dek Sue Kai Wok或Phra-dek-seua-kai-wawk )2007 深入丛林 Deep in the Jungle (Nakhee 预定2008.10 发行)2007 重炮海盗 The Queen of Langkasuka (ปืนใหญ่ จอมสลัด Puen Yai Jom Slad 预定2008 发行)客串演出【TV Series 电视连续剧】1999 苏打和冰茶 Soda and Iced Tea ( โซดากับชาเย็น Soda Gub Chayen ) with Pin Kejmanee Pichaironnarongsongkram (Ch.5 )2000 谜 ( ปริศนา Prisana) with Taya Rogers (Ch.7 )2001 日出东方 ( ตะวันตัดบูรพา Tawan Tad Burapa) with Pim Zaza (Ch.5 ) 神秘城堡(哇丽宫)( วังวารี Wang Waree ) with Nat Myria ( นัท มีเรีย ) (Ch.3)2002 (暂无中文片名) ( ตกกะไดหัวใจพลอยโจน Tok Ka Dai Hua Jai Ploy Jone) with Maam Kathaleeya McIntosh (Ch.3) 诡计多端(千方百计爱上你)( ร้อยเล่ห์ เสน่ห์ร้าย Roy Rei Sa Nei Rai 或Roy Sneah Roy Labech ) with Aom Phiyada Akkraseranee (Ch.5 )2003 出逃的公主 ( เลือดขัตติยา Luad Kadthiya) with Aom Phiyada Akkraseranee (Ch.5 )2004 真心小姐与好好先生 Ms. Jingjai and Mr. Sandee ( นางสาวจริงใจ กับนายแสนดี Nangsao Jingjai Gub Nai Saandee ) with Aum Pachrapa Chaichua (Ch.7 )2005 美梦成真(姻缘天注定)( ฝันเฟื่อง Funn Fueng ) with Jieb Sopitnapa (Ch.5 )2006 另一天空的太阳( 同一天空下) ( ต่างฟ้าตะวันเดียว Tang Fah Tawan Deaw ) with Janie Tienphosuwan (Ch.3 ) 我是你的眼睛(你是我的眼)( แก้วตาพี่ Kaew Ta Pee ) with Cherry Khemupsorn Sirisukha (Ch.3 September )2008 爱的旋律( รัก-ริ-ทึ่ม Love Rhythm 2008.4.4 首播 ) ( Ch.5 )2010一诺倾情( 主演:Tik & Aff )(CH3 )希望有帮到你!!(*^__^*) 嘻嘻……
发表评论