换一换 
如何处理你并非完全信任的软件的基本概述 本指南将让你具备一些判断某款软件是否可能包含恶意元素的基本能力。 如果你对本指南中的某些网络渗透步骤不太清楚,可以参考底部的【Viper基础指南】链接。在该指南中,我会详细介绍该部分的所有步骤。 简介 不确定你手上的软件是否为恶意软件? 担心有人可能试图对你进行远程控制? 如果你获得了一款不完全信任的软件,或许直接删除它? 如果无法删除,那么首要规则是:不要在你自己的服务器或电脑上运行你不信任的软件。运行未知软件时,为何要让自己的网络暴露于潜在风险中?让NPC来承担风险,你则负责留意任何可疑情况。我会假装刚从别人那里收到一个软件,然后带你了解如何安全地对其进行初步检查,看看它会有什么动作。获取可疑软件并渗透NPC。哇哦,看这个!我那位有些好感但并非绝对信任的熟人,给我发了这个花里胡哨的软件!这会是什么呢?
哇,这看起来一点都不可疑。不过我还是最好测试一下,毕竟这是个好习惯。要测试的话,我就随便黑进一个NPC的系统好了。
太棒了。下一步! 准备工具 既然我们已经获得了访问权限和root权限,我们需要传输一些东西。 我们要检查的程序——这是肯定的。 嗅探器(Sniffer)——可从黑客商店(HackShop)获取。
htop - 可选工具,由制作Viper的团队提供。你可以通过以下方式获取htop:使用apt-get addrepo 105.96.145.49添加他们的仓库,然后执行apt-get update,最后运行apt-get install htop进行安装。
htop本质上是一个改进的实时ps命令。
你几乎可以通过持续使用ps命令来完成相同的工作,但htop是我首选的方法。我将展示这两种情况。
好了,我们已经准备好所有需要的东西了! 正确设置 文件已收集完毕,是时候设置程序了。 首先,运行嗅探器。
然后我们运行htop。或者如果你没有使用htop,可以运行初步的ps命令来替代。
我们已经准备就绪并安顿好了。让我们来了解一下整体情况。
启动软件并做记录 好了,一切准备就绪,我们也有了大致了解。 现在是时候启动软件并仔细做记录了。
真奇怪。嗅探器没有检测到任何东西。没有运行任何像rshell这样可疑的进程……但那是什么? 一个新的文件资源管理器进程突然在运行。更奇怪的是,这个所谓的文件资源管理器进程当前内存占用为0.0%。
这显然是一个进程试图伪装成另一个进程的情况,目的是进行一些恶意活动。 终止该进程并从你的所有设备中删除该软件。 这就是为什么你必须留意细节,因为重命名进程只是人们用来隐藏恶意软件的众多混淆手段之一。你必须注意任何意外的不一致之处。 另一件需要注意的事情是,当你启动程序时,程序启动了不止一个进程,因为某个程序可能会同时启动一个合法进程和一个恶意进程来分散你的注意力。 再次强调,仔细监控htop或ps命令对于发现这些情况至关重要。 在这个案例中,我们处理的是一个非常基础的远程shell命令,因此嗅探器没有检测到任何异常。需要记住的是,一个程序通过了你的某项测试,并不意味着它没有恶意。这只说明它通过了你所测试的那一项特定内容。最好的建议仍然是:不要运行任何你不信任的软件。但如果你无论如何都要运行,一定要小心操作,并且远离你的“家”(指个人重要系统或网络)。 额外内容 - 嗅探器的实际应用 嗅探器软件是检测特定位置异常流量的好工具。假设某个程序传输了其运行位置的IP和SSH详细信息,那么我们的嗅探器就能捕捉到与该位置之间的任何异常流量。下面简单展示一下它的工作情况,让你知道需要留意什么。
这可是件可怕的事。攻击或渗透可能不会立即发生,任何潜在的攻击者都可能悄悄储存程序提供给他们的任何信息,以便在日后更合适的时机使用。 致谢与进一步指导 Xclusive - 也就是我。显然,是我写的这个。 Volk - 制作了本指南中展示的Viper工具。 GrumpyBunny - 提供创意和一般性建议。如需进一步帮助,请前往我们的Discord。欢迎在综合聊天频道向我们提出其他问题。GrumpyBunny通常在线,随时准备解答大家的疑问。
