通过webshell的修改时间属性 来判断恶意文件

              一句话的webshell,那么这是ASP的webshell,那么接下来,我们从命名将它重命名为 ASP回车。那么现在有了一个1.ASP并且是一句话webshell,那我们就可以打开中国菜刀来进行对应的这个连接。那么在这里打开,这是我之前对应的这个事项,那我们给之前内容进行一个删除,在这里也给它进行一个删除。

那么默认情况下它会有这样一个界面展示,咱们可以在这个界面当中右键,然后添加,然后在这里输入对应的这个域名或者是对应IP地址,那么接下来输入对应的1.ASP那么输入对应的密码,我们密码是cmd点击添加,那么双击打开,那么此时就可以转到我们对应的目录,我们可以在这里对我们上传好的这个 web shell,也就是我们在这里更新缓存,因为它会有一个缓存,所以说刚才我们查看的是我们之前缓存好内容,你可以在打开一次之后右键然后更新缓存,那么就会缓存掉之前它所对应的这个缓存,从而展现我们最新的这个目录信息。

那么在这里,会发现我们对应的这个创建时间,这里是它的这个修改时间,那么我们就可以对它进行一个修改。那么右键,然后修改文件或文件夹时间,那么比如说我们给它修改为3月1号回车,那么再来更新一下缓存,会发现修改为3月1号,那我们回到站点目录下进行一个刷新,会发现我们1.ASP修改为对应的3月1号,那么此时右键属性我们就可以查看它的这个信息,会发现我们对应的这个修改时间要远远早于,我们对应的创建时间,大家就可以很确定它是一种对应的这种代码,存在着恶意行为,那么你就可以进行一个进一步的分析,分析他究竟做了怎样的事情。

如果你想这个不分析的话,你可以直接右键删除,而是那么此时刷新咱们界面是没有这样一个内容,那么,此时我们再来连接,那么更新一下缓存,会发现404也就是这个 webshell已经不复存在了,那我们也就不能进行进一步的这个webshell的操作,那么这样的话,就终止了我们菜刀与我们对应目标的这样一个连接。

那么当然整个过程 ,咱们是使用右键查看属性来进行实现的,那么咱们实现的这个原理就是查找我们对应的这个可疑文件,可疑文件在哪里,可以在它对应的修改时间,要远远早于对应的这个创建时间,那么一定要注意咱们中国菜刀等等一些工具,它修改的是咱们修改时间,并且咱们默认展示的也是一个修改时间。

要想查看创建时间来说,你可以选中对应的目录或者是文件夹右键属性来进行查看,比较两者的这个大小。那么以上就是咱们关于文件分析中文件时间属性分析的一个介绍。那咱本节课先到这里,再见。

分享: