应急响应-Rookit后门查杀 Rookit和内存马的区别内存马一般是作为控制网站的webshell的进一步权限维持，而Rookit一般是用来控制服务器隐藏常规C2后门的权限维持手法。Rookit常规隐藏手法-Windows我们知道常规C2后门的排查手法就是通过网络连接、进程排查进行分析定性，那么Rookit可以做到哪些方面的隐藏呢？Rookit可以隐藏进程，隐藏网络连接，同时它还可以隐藏文件，让蓝队成员无法排查到这个C2后门的所在。隐藏进程隐藏网络连接隐藏文件应急处理方法碰运气-使用对应Rookit的卸载文件进行卸载常规手法-火绒剑看隐藏的进程可以看到火绒剑可以看到隐藏的进程，而其他的一些工具无法看到隐藏的进程通过进程PID我们可以直接结束该进程常规手法-通过Unhide工具查看隐藏的进程和端口unhide上面的条件仅仅只有进程的PID对我们有点用，本地隐藏的端口是没什么用的，因为我们不知道连接的C2服务端以及服务端开放连接的端口，所以说这个条件除非我们卸载了Rookit看到网络连接才能正确的封禁IP和端口，不然基本没用通过PID我们可以将进程结束掉，从而防止危害进一步扩大。（这边我们尝试通过cmd的结束进程命令来结束恶意进程似乎不行，提示未找到PID，最好还是火绒剑结束比较稳妥）Rookit常规隐藏手法-LinuxGitHub - f0rb1dd3n/Reptile: LKM Linux rootkit隐藏进程/reptile/reptile_cmd hide 5803隐藏网络连接/reptile/reptile_cmd tcp 114.55.115.6 4444应急处理方法常规方法-通过Unhide工具查看隐藏sudo apt-get install unhideunhide proc通过kill命令即可清除运行的后门进程至于网络端口只能发现本地的端口，其实没啥用，所以就不演示了，具体的使用方法可以自己体验补充：Linux杀软-clamavLinux病毒扫描工具：ClamAVClam AntiVirus是一个类UNIX系统上使用的反病毒软件包。主要应用于邮件服务器，采用多线程后台操作，可以自动升级病毒库。ClamAV是一个在命令行下查毒软件，因为它不将杀毒作为主要功能，默认只能查出您计算机内的病毒，但是无法清除。