总结一些linux下的猥琐操作

1afK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6B7k6$3q4E0j5X3I4A6L8W2)9J5c8V1#2A6M7X3q4A6i4K6u0V1f1$3!0#2M7X3y4W2i4K6u0V1b7$3!0V1k6g2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6E0K9i4u0S2K9g2)9J5c8X3u0G2N6q4)9J5c8X3E0A6L8r3I4W2M7W2)9J5k6h3x3`.

以下摘自3bfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8X3g2F1N6$3g2A6N6r3g2U0K9q4)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3y4e0x3K6z5e0p5#2y4U0M7`.

/proc/pid/cmdline 包含了用于开始进程的命令 ；
/proc/pid/cwd包含了当前进程工作目录的一个链接 ；
/proc/pid/environ 包含了可用进程环境变量的列表 ；
/proc/pid/exe 包含了正在进程中运行的程序链接；
/proc/pid/fd/ 这个目录包含了进程打开的每一个文件的链接；
/proc/pid/mem 包含了进程在内存中的内容；
/proc/pid/stat包含了进程的状态信息；

在linux中，这些文件包含了很多敏感信息

在mirai中，使用readlink读取/proc/pid/exe来获取程序路径，从而判断是敌是友

也可以open /proc/pid/exe 来读取内存，读内存数据判断是敌是友

这些特性也可以用来取证，比如如果readlink /proc/pid/exe,路径中出现(deleted)，就是自删除的,那么这个就很可疑，就可以使用cp /proc/pid/exe /tmp/v 把他拷贝出来。更多的特性可以在网上找资料,对linux安全研究有很多帮助。

mirai为了不调用c库函数，自己实现很多c函数

比如util.c中一些库函数，resolv.c中的dns查询

d9fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6B7k6$3q4E0j5X3I4A6L8W2)9J5c8V1#2A6M7X3q4A6i4K6u0V1f1$3!0#2M7X3y4W2i4K6u0V1b7$3!0V1k6g2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6E0K9i4u0S2K9g2)9J5c8X3u0G2N6q4)9J5c8Y4u0W2M7$3!0D9N6W2)9J5k6h3x3`.

linux惯用手法

曾经看过一个udp reverseshell ，感觉linux中用户层隐藏自己的方法都差不多

e19K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6o6K9s2g2J5M7X3!0Q4x3V1k6H3L8%4u0@1K9$3&6G2j5$3E0V1i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8Y4m8G2M7Y4c8C8L8X3!0U0K9$3c8Q4x3X3g2U0

mirai

调用完后立刻加密，敏感字符串不会一直存留在内存中

做了两处隐藏，看unlock_tbl_if_nodebug中，将table_init函数的调用与argv[0]搅合在一起，让人逆得头疼

二是先注册异常处理函数 signal(SIGTRAP, &anti_gdb_entry);，如果unlock_tbl_if_nodebug(args[0])返回true，才触发异常，然后才间接调用anti_gdb_entry，anti_gdb_entry中为 resolve_func = resolve_cnc_addr;类似windows中的猥琐操作。

这段写的有两个作用，一是必须输入正确的名字才能进行正确的初始化，二是让你看不懂

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课