怎么在Windows和Linux服務器中檢測混淆命令

這篇文章主要介紹“怎么在Windows和Linux服務器中檢測混淆命令”，在日常操作中，相信很多人在怎么在Windows和Linux服務器中檢測混淆命令問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”怎么在Windows和Linux服務器中檢測混淆命令”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

工具介紹

在目前的無文件惡意軟件或網絡犯罪領域中，命令行混淆已經是很常見的了。為了繞過基于簽名的安全檢測機制，紅隊滲透測試以及APT攻擊活動都會使用各種專用的混淆/模糊技術。同時，許多代碼混淆工具（即執行語法轉換工具）都已開源，這也使得網絡攻擊者們對給定命令進行混淆處理變得越來越容易了。

然而，針對這類技術的防御工具卻仍然很少。針對Linux的命令行混淆，我們幾乎找不到任何可以使用的檢測工具。在防范Windows命令混淆方面，現有的方案要么是缺乏相應工具，要么只是解決了部分問題，并沒有徹底解決所有問題。

為了更好地檢測相關威脅，我們設計并開發了Flerken，這是一個工具化的平臺，可以用來檢測Windows（CMD和PowerShell）和Linux（Bash）命令。Flerken可分為Kindle和Octopus這兩個模塊，其中Kindle針對的是Windows模糊檢測工具，而Octopus針對的是Linux模糊測試工具。除此之外，為了優化Flerken的分類性能，我們還引入了機器學習、雙向特征過濾和腳本沙盒等技術。

工具安裝&使用

工具安裝

1、 確保服務器端已安裝了Python 3.x，你可以使用下列命令來檢測：

[root@server:~$]python –V

2、 安裝依賴組件，所有的依賴組件已在requirement.txt中聲明：

[root@server:~$]python –V

3、 登錄MySQL控制臺，導入數據庫：

source/your path/Flerken/flerken/lib/flerken.sql

4、 自定義配置Flerken App：

Path:flerken/config/global_config.py

5、 運行工具：

[root@server:~$]python runApp.py

6、（可選）為了降低假陽性，可根據需要構建白名單規則：

Path:flerken/config/whitelists/

工具使用

工具的使用如下圖所示，我們還可以使用API接口：

獲取幫助信息

如果你對Flerken的使用有任何疑問，可以直接創建issue并進行標注，我們會盡快解決大家提出的問題：

內置的第三方庫

Flask

Flask-WTF

Flask-Limiter

frankie-huang/pythonMySQL

jQuery

Swiper

到此，關于“怎么在Windows和Linux服務器中檢測混淆命令”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！