僵尸进程概念 僵尸进程(Zombie process)通俗来说指那些虽然已经终止的进程,但仍然保留一些信息,等待其父进程为其收尸. 书面形式一点:一个进程结束了,但是他的父进程没有等待(调用wait / waitpid)他,那么他将变成一个僵尸进程.通过ps命令查看其带有defunct的标志.僵尸进程是一个早已死亡的进程,但在进程表(processs table)中仍占了一个位置(slot). 但是如果该进程的父进程已经先结束了,那么该进程就不会变成僵尸进程.因为每个进程结束的时候,系统都会扫描…

windows平台中,某些进程做了各种保护,比如hook了terminateProcess,又或者注册了进程终止函数的回调.当调用这些API或任务管理器终止该进程时,会被绕过,典型如某些杀毒软件,怎么才能终止这些进程了? 进程是由线程组成的,如果该进程名下所有线程都终止,此进程也会被windows回收和注销,终止进程的问题就转化成了终止线程:但如果直接调用terminateThread,同样面临terminateProcess被hook的窘境.深入逆向分析terminateThread后发现,真…

我们平时在做web开发运行web服务器或运行某个应用时会报错,提示该应用的端口号已被占用,我们可以用以下的方法解决. 解决方法一:重新为应用配置端口. 解决方法二:找到占用端口的应用并关闭该应用释放占用的端口: 1.win+r运行cmd或在开菜单的运行中运行 2.运行命令 netstat -aon|findstr "8888" netstat -ano 查看所有已占用的端口     findstr "要查看的端口" 查找指端口的占用情况 可以看到我要查找的"…

shell 执行查找进程,然后查杀进程脚本如下: ps -ef | grep 'IOE' |grep -v 'grep'| awk '{print \$2}' |while read pid; do kill -9 \$pid; done 相关命令详解: ps命令讲解:http://www.cnblogs.com/wangcp-2014/p/5146315.html grep命令讲解:http://www.cnblogs.com/wangcp-2014/p/5146335.html awk命令讲…

centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多! 一.手动安装 1.下载(官网)    cd /soft     wget http://www.clamav.net/downloads     2.解压    cd /soft    tar zxvf clamav-0.99.2.tar.gz -C /usr/local/src    cd /usr/local/    mkdir clamav    cd /usr/local/src/clamav…

最近因为工作需要,研究了一下桌面应用程序.在winform.WPF.Electron等几种技术里,最终选择了WPF作为最后的选型.WPF最吸引我的地方,就是MVVM模式了.MVVM模式完全把界面和业务剥离开来,页面所有操作都通过数据来驱动.更替页面不用修改业务代码逻辑. 以一个查杀进程的小工具来作为初次学习的成果总结.日常开发Java Web程序的时候,进程遇到端口占用问题,通过命令查找端口.查找进程.杀死进程,这一套命令敲下来过于麻烦.于是就写了这么一个小Demo,即作为学习使用,也为以后工作…

一.查看进程 Linux下显示系统进程的命令ps,最常用的有ps -ef 和ps aux.这两个到底有什么区别呢? 两者没太大差别,讨论这个问题,要追溯到Unix系统中的两种风格,System V风格和BSD 风格,ps aux最初用到Unix Style中,而ps -ef被用在System V Style中,两者输出略有不同. 现在的大部分Linux系统都是可以同时使用这两种方式的. 1.ps aux |grep java 2.ps -ef | grep java 二.杀进程 kill -s…

一.筛选 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' 二.查杀 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' | awk '{print $2}' | xargs kill -9…

db2 查杀死锁进命令 db2 get snapshot for locks on (需要snapshot的访问权限) db2 list applications db2 "force application(8)" 在snapshot的第四段显示应用程序句柄为8的应用有锁存在,在其相应的锁定列表中显示锁定的表是US_CATALOG. 如果您确定是US_CATALOG表上发生了死锁,可以通过命令db2 "force application(8)"来杀掉该应用在数据库…

开始-运行,输入CMD打开命令行界面,输入命令netstat -ano 结束该进程C:\>taskkill /f /t /im Wiz.exe 根据进程ID杀 >taskkill /F /PID pid netstat -ano | findstr "80" (注80是你想要看查看的端口号) tasklist 看某个进程具体是哪个进程tasklist | findstr "80" (注 80是进程的id即PID) 1.打开cmd窗口2.查找小票打印程序端…

一.逐条--锁表 (1)查表名 和 sessionidselect b.owner,b.object_name,a.session_id,a.locked_mode from v$locked_object a,dba_objects b where b.object_id = a.object_id; (2)sessionid(sid) .serial# select b.username,b.sid,b.serial#,logon_time from v$locked_object a,v$…

前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或者当我们运行了某一个程序,包括有可疑操作,比方创建开机启动项,那么杀软一般也会对此进行提醒:或者当我们在计算机中插入U盘.杀软往往也会第一时间对U盘进行扫描,确认没有问题后,再打开U盘--上述这些,事实上都属于杀软的"主动防御"功能. "主动防御"简单介绍 杀毒软件通常…

Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机感染该病毒,所以Ramnit依然是网络空间世界的重大威胁之一. Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取: 该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息: 此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害. 病毒样本分析 微…

前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了. 原理讨论 对于本病毒而言,其最大的特色就在于使用了进程守护技术.病毒运行后,同时有三个病毒进程存在,关闭其中的任何一个,由于还有两个病毒进程的存在,那么被关闭的又会被重新开启.要解决这个问题,不能靠&q…

前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结>)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生"先入为主"的心态,在分析反汇编代码的时候就能够比较顺利.本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六进制代码,我们能够获取到什么信息,这也算是从另外一个角度来处理病毒文件. 查看附加数…

前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具. 专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专杀工具换一种形式实现.不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其删除掉,之后检查系统中是否也存在病毒,如果有,也一并清理干净.我们这次的专杀工具需要实现以下几个功能:        1.专杀工具开启后,需要时刻监测是否有U盘插…

前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术.之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了).而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰.JS脚本木马之所以会如此泛滥,与它的编写简单.易于免杀以及难以封堵等特点息息相关.而我们本次的课程也会围绕它的这三个特点展开讲解,从而让大家全面的掌握JS脚本木马的分析与防御技术.   JS下载者脚本木马基本分析方…

  工作中重启环境时常常出现内存溢出等等问题,往往需要查杀进程来帮助重启成功,下面就查杀线程的详细指令做下总结:   1.查找需要kill掉的线程: ps -elf|grep [线程关键信息] 比如:ps -elf|grep java 这样找到所有JAVA 线程 比如要删除tomcat线程,可以执行:ps -elf|grep tomcat 这样就可以找到跟tomcat相关的所有线程,从中找到你需要kill掉的线程ID   2. 强制终止线程: kill -9 [线程ID]   比如你的线程ID是…

使用FC命令辅助查杀DLL木马 在windows系统中,system32目录下是木马隐身的好地方,查找起来非常困难,许多木马都削尖了脑袋往那里钻,DLL木马也不例外.针对这一点用户可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录. 注:有了这个思路后,后续你可以安装一些比较文件不同的软件,如UC之类.而不用FC命令也可以.另新安装好服务器时也可以先备份一下DLL列表这样养成良好习惯. 第1步 打开命令提示符,进入system32目录. 第2步 执行dir .exe>e…

今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程. 我让他关闭这个机器的外网,内网放开,在局域网中给我一个跳板.等我拿到权限之后进入机器,先按照朋友说的验证了一遍,果然是那样,木马有自我保护自我恢复. 这时候我想到一个问题居然是能自我开机启动,要么/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/下有启动脚本,要么有cron计划任务. 于是我发现…

一.故障现象:1.360软件的木马查杀.漏洞修复等组件不能使用,提示runtime error2.暴风影音等很多软件不能正常使用3.设备管理器不能打开,提示“MMC 不能打开文件”4.部分https安全网页不能正常打开 二.解决办法:1.开始--运行--输入cmd2.输入 cd %windir%\system32 (进入windows安装目录的system32文件夹)3.输入 Regsvr32 Msxml3.dll4.上述故障全部解决 三.原因分析:访问了恶意网站或中木马所致,这些木马伪装成系统…

最近这两天以来,服务器一致声音很响.本来以为有同事在运行大的程序,结果后来发现持续很长时间都是这样,并没有停的样子.后来查了一下,发现有几个可疑进程导致,干掉之后,果然服务器静悄悄了. 但是,问题并没有结束,过了一会儿,服务器又开始轰鸣了,查找了一下,这里简单记录一下. 1.查看top结果,可见如下情况: top - :: up days, :, users, load average: 80.62, 78.60, 77.78 Tasks: total, running, sleeping, s…

一.说明 如果出现文件上传漏洞和命令执行类漏洞(包括命令注入.缓冲区溢出.反序列化等)都会让人担心,系统是否系统已被上传webshell甚至植入木马程序.如果依靠人工排查,一是工作量大二是需要一定程度的技术知识和业务知识才能判断什么是正常什么是异常.工作量大决定排查工作不可能由个别具有技术知识和业务知识的人来完成工作而需要其他人员参与,而如果这些没有“一定程度的技术知识和业务知识”的人员参与基本必然后导致大量的误报和漏报(主要是漏报).总而言之,在大量设备场景中人工排查后门是很难切实有效推行的排…

最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录. 一.现象 1.CPU占用超高. 2.网络流量异常. 3.对外ddos攻击 4.服务器卡顿. 二.文件异常 1.系统主要命令文件被替换: ps,netstat,lsof,ss命令被替换 chattr,lsattr文件被删除. 1) top 可以看见一个随机的文件名,占用资源较高 2) ps -ef 可…

 目 录: 一.问题现象: 二.问题排查: 1.netstat 排查: 2.top查看: 3.lsof -c 命令排查: 4.确定中木马了. 三.木马查杀: 木马1,清除: 木马2,清除: 四.后续处理: 1.iptables检查 2.cron检查 3.chkconfig检查 4.木马删除,持续观察确认 五.入侵原因及后续避免措施: 1.入侵原因: 2.后续避免措施:(监控为主) 一.问题现象: 服务器登录缓慢,远程连接老是卡顿. 二.问题排查: 1.netstat 排查: 如图:58.218.…

概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用: *注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox,具体的安装和下载步骤参见参考文章(https://blog.csdn.net/u010457406/article/details/89328869). 2.crontab 定时…

redis的漏洞让公司的服务器中了挖矿的病毒,入侵者在服务器上留了后门.每次只是把进程杀杀,但是过段时间病毒又回来了,这个事情一直让人头疼.先是minerd的病毒入侵,后是minergate-cli入侵.当时以为是服务器的帐号密码被泄漏了,然后对服务器登录的ip一个个检查,对操作的shell一个个核对,都没有发现异常.这就奇怪了,不知道什么原因让病毒一直入侵.还是minergate-cli这个病毒的运行方式让我找到了问题的所在.以往的miner进程会让cpu跑到1000%的状态,kill的时候只…

病毒现象 扫描爆破内网基于445端口的SMB服务 服务器出现卡顿.蓝屏 服务器主动访问恶意域名:totonm.com.cake.pilutce.com:443 病毒处置 删除关键病毒文件:C:\Windows\System32\rdpkax.xsl (包含所有攻击组件的压缩包)C:\Windows\System32\dllhostex.exe (挖矿主体文件)C:\Windows\System32\ApplicationNetBIOSClient.dllC:\Windows\SysWOW64\A…

病毒现象 服务器出现卡顿.CPU飙升 以下为WatchDogs的判断方式及其命令:存在恶意进程watchdogs: ps -ef | grep watchdogs存在恶意进程ksoftirqds: ps -ef | grep ksoftirqds存在恶意启动项watchdogs: chkconfig | grep watchdogsps.rm等命令被so劫持: ldd which ps | grep libioset.so恶意的蠕虫下载计划任务: crontab -l | grep pasteb…

开源网站云查杀方案,搭建自己的云杀毒 搭建ClamAV服务器 1        前言: 在上一篇我们已经演示了整个方案,传送门<开源网站云查杀方案,搭建自己的云杀毒>:https://www.cnblogs.com/dengjiahai/p/12437360.html#4514940.接着我就写一个文章来演示如何搭建ClamAV服务器,开始之前,我先说说关于陆陆续续收到一些同行的交流对话和疑问的这个问题,发表一些我个人的见解和看法: 在服务器安装杀软它不香嘛?为甚搞那么复杂? 答:的确,在服务…