1.PHPStudy后门事件分析
2.Xshell高级后门逆向分析
3.“NetSarang的后门Xmanager和Xshell多种产品被植入后门事件”分析报告
4.360后门事件主要问题
5.Byshell(Backdoor)后门程序，怎么清啊？

PHPStudy后门事件分析

       本文深入剖析了在PHPStudy后门事件中，码后门代码PHP环境集成程序包phpStudy遭遇供应链攻击的后门细节。程序包中内置的码后门代码PHP的php_xmlrpc.dll模块被植入了后门，这一后门不仅具备反向连接木马功能，后门还能正向执行任意PHP代码。码后门代码分时盘面能量源码

       受影响的后门版本包括：php\php-5.2.\ext\php_xmlrpc.dll、php\php-5.4.\ext\php_xmlrpc.dll、码后门代码PHPTutorial\php\php-5.2.\ext\php_xmlrpc.dll、后门PHPTutorial\php\php-5.4.\ext\php_xmlrpc.dll。码后门代码攻击者通过@eval()函数定位到恶意代码引用位置，后门利用@错误信息屏蔽专用符号和Eval()函数执行代码，码后门代码通过中间的后门%s格式符接收传参。

       分析过程中，码后门代码确认了两个主要的后门判断条件：一个是判断ACCEPT_ENCODING是否等于gzip, deflate，来决定是否执行基于HTTP_ACCEPT_ENCODING的内容解密并调用zend_eval_strings()函数，执行任意恶意代码。另一个是判断ACCEPT_ENCODING是否等于compress,gzip，以此触发通过关键部分@eval(gzuncompress('%s'));执行解密的代码。

       通过构造特定的HTTP头，可以触发正向和反向连接。例如，将Accept-Encoding设置为gzip,deflate可以触发正向连接部分，而设置为compress,gzip可以触发反向连接部分。在实际操作中，动态调试工具如OD被用于辅助定位和构造有效载荷。

       后门功能分析包括两个PHP脚本：一个用于模拟GET请求，另一个则内置了域名表和端口表，首板股源码通过遍历发送数据。执行流程和构造有效载荷的细节则需根据具体原理进行构建。

       为了验证漏洞的存在，可以使用漏洞插件，如长亭科技xray社区漏洞扫描器。此插件能够帮助快速验证受影响的站点，并提供相应的检测规则和链接。

       网络特征主要包括特定的HTTP头，例如Accept-Encoding:gzip,deflate的格式，以及Accept-Charset的Base编码。文件特征则是特定的字符串模式，如%s;@eval(%s('%s'));等。受影响的站点则涉及多个提供软件下载的网站，验证过程需要针对这些站点进行。

       综上所述，PHPStudy后门事件展示了供应链攻击的严重性和复杂性，对于开发者和安全团队而言，了解并防范此类攻击至关重要。在实际应用中，应加强安全措施，定期进行漏洞扫描，以及更新和验证依赖库的安全性。

Xshell高级后门逆向分析

       Xshell是一款强大且被广泛用于服务器运维与管理的终端模拟软件。经过深入分析，Xshell存在特洛伊化的可能性，一旦用户启动该程序，主机的xcode做日历源码详细信息，包括主机名、域名与用户名，会立即发送到远程服务器。若服务器处于活跃状态，受影响系统可能会接收到激活数据包，从而启动恶意代码的下一阶段。这些恶意代码采用插件架构，具备执行各种恶意功能的能力，如远程持久化控制与敏感信息窃取。

       实验目标在于通过逆向分析带有“后门”的nssock2.dll文件，学习识别并查找隐藏的恶意访问入口。实验工具包括IDA Pro与OllyDbg，两者的结合使用将有助于更深入地了解Xshell后门的运行机制。

       首先，利用IDA Pro打开样本文件中的nssock2.idb文件，通过快捷操作跳转至关键代码段，并使用F5查看伪代码。此段代码首先申请内存空间，接着进行数据解密，将解密结果存入内存，然后执行解密后的代码（即shellcode2）。紧接着，使用OllyDbg动态分析，通过在nssock2.dll文件中设置断点，逐步调试程序至关键操作处，直至运行到shellcode2执行阶段。继续分析解密后的ai许愿信源码恶意代码，发现其执行流程包括动态内存分配、再次加密、创建新线程等步骤，最终实现恶意功能的执行。

       实验的最后阶段，分析了恶意代码向外部服务器发送加密用户信息的过程。通过特定算法生成域名、计算机名、用户名等信息，与Guid和标志位拼接形成上报数据。数据在经过两次加密处理后，通过网络传输至服务器。服务器响应后，恶意代码会接收数据并写入注册表，随后调用解密函数解密shellcode3，执行恶意功能。

       总结，通过此实验，我们不仅学会了如何识别和分析隐藏在Xshell中的后门机制，还深入了解了恶意代码的执行流程及加密技术。此类分析对于检测和防御类似威胁具有重要意义。病毒往往也会采用类似的技术手段来规避检测，因此深入理解这些技术对于提升网络安全防护能力至关重要。

“NetSarang的Xmanager和Xshell多种产品被植入后门事件”分析报告

       NetSarang是一家提供安全连接解决方案的公司，产品包括Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd等远程连接管理客户端软件。近期，官方发布的咨询html源码免费软件版本中被发现nssock2.dll模块源码被植入后门。阿里云应急响应团队随即启动应急分析，确认后门会上传敏感数据至服务器，使用该软件的IT运维技术人员面临较高安全风险。

       受影响版本包括官方发布的多个版本。阿里云安全团队深入分析后发现，后门代码存在于Xshell相关的nssock2.dll中，该DLL具有厂商合法的数据签名。通过技术分析，发现该后门代码通过申请内存、解密并执行一段shellcode来上传用户、机器、网络相关信息至远程服务器，导致敏感信息泄露，风险严重。

       阿里云安全团队建议用户关注并启动自查处理，具体措施参见安全建议部分。进一步的技术分析显示，后门代码通过DGA算法生成C2域名用于数据传输，使用该算法生成的年全年C2域名已公开。后门样本会采集用户、机器信息并发送至指定域名，存在数据泄露风险。

       检测方法包括识别后门代码、检查数据上传行为及分析网络流量。针对安全风险，阿里云提供了安全解决方案，并在检测到后门代码后对外发布全网预警公告。更多技术细节和安全建议请关注云栖社区知乎机构号：阿里云云栖社区 - 知乎。

后门事件主要问题

       安全卫士的后门事件主要涉及两个关键驱动程序：bregdrv.sys和bfsdrv.sys，以及它们调用的动态链接库bregdll.dll和bfsdll.dll。

       bregdrv.sys是内核模式驱动，它通过调用未公开的CmXxx系列函数来操作注册表，这种操作可能导致系统内部数据不同步，严重威胁系统安全，甚至可能导致用户数据丢失。bregdll.dll是用户态动态库，它封装了对bregdrv.sys的调用，提供了注册表操作的后门接口。该库的函数仿照Windows API，但绕过了安全检查，直接调用底层函数。

       另一个驱动bfsdrv.sys则通过发送I/O请求包绕过文件系统监控，允许恶意程序如木马修改或删除用户文件。bfsdll.dll是用户态动态库，它提供了文件操作的后门接口，同样避开文件系统过滤驱动，直接操作文件。

       的问题在于，它并没有遵循操作系统安全机制，而是直接绕过了安全检查。这种设计不仅存在后门功能，还带来了严重安全隐患。黑客可以轻易利用这些漏洞，访问用户隐私，修改或删除电脑中的文件和注册表信息，如删除安全软件，或通过修改注册表实现恶意操作，如激活禁用的用户账户或劫持系统启动。

       综上所述，安全卫士的后门事件显示出其在设计和安全措施上的严重缺陷，对用户数据和个人隐私构成了潜在威胁。

扩展资料

       年 2月2日，安全专家发现，安全卫士在安装进用户电脑时，会偷偷开设“后门”。在此事件爆出后，奇虎公司试图用此前爆出的“漏洞”来掩盖其“存在后门”的事实。其实，“后门”是软件编写人员故意在其中放入的，而“漏洞”是程序员无意中导致的错误。一个是故意，一个是无意，两者性质完全不同。正常软件不会编写放置“后门”，作为用户安全保护者的安全软件更不能有任何“后门”，只有黑客程序才出于不正当目的，为窃取用户信息加入“后门”。

Byshell(Backdoor)后门程序，怎么清啊？

       Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。黑客通常用Byshell木马程序远程控制安装了Windows NT//XP/操作系统的机器。当Byshell被安装在一台远程计算机上后，黑客就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。

       如何绕过主动防御

       Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。

       同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络地址。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。

       ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效。

       五步清除Byshell

       1.安装一个具备进程管理功能的安全工具软件，查看系统进程，可以看到很多被明显标识出的进程。这些进程都是可疑进程，很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。

       2.找出来该安全工具软件中与服务管理相关的选项，同样可以看到多个被明显标识出的系统服务，说明这些服务都不是系统自身的服务。经过查看发现一个名为Hack的服务较为可疑，因为它的名称和木马模块的名称相同。

       3.找出工具软件中与文件管理相关的标签，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件，看来这个木马主要还是由这两个文件组成的。

       4.现在我们就开始进行木马的清除工作。在进程管理选项中首先找到被明显标识的IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击服务管理选项，选择名为Hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。

       再选择程序中的文件管理选项，对木马文件进行最后的清除操作。在系统的system目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。然后重新启动系统再进行查看，确认木马是否被清除干净。

       5.由于木马程序破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或者重新将杀毒软件安装一次即可。

       以前木马种植前，黑客最重要的工作就是对其进行免杀操作，这样就可躲过杀毒软件的特征码检测。现在ByShell已经有木马可以突破主动防御，以后这类木马也会越来越多，因此大家一定要加强自己的安全意识。