Quan

偶然习得一篇关于Linux下HIDS的绕过方式，遂来学习一下。刨除大哥的各种猜想与正确失败的验证，只把结论显示出来：
1.日志类,登陆/ssh爆破：/var/log/securt 
通过不断尝试发现，发现安全设备是通过/var/log/securt这个文件来实现报警的。只要写成执行文件，后台运行。就可以绕过了日志了。Shell脚本如下命令：写成sh，后台执行
While:
do
sed  –i  ‘/ip /d’ /var/log/securt
done
结论：因为安全设备因为可用性或者运行负荷不能完美实时地抓取日志，只要你改的比他读的快，安全设备便追不上你，各类日志都是同理,iptales,ssh,甚至一些中间件也是同理。
2.history日志
ssh  root@localhost –T /bin/bash 发现真的成功了，执行命令不记录。
结论：在no tty模式下执行命令是不记录的
3.反弹shell报警
新上传的bash可以绕过history记录

钓鱼场景下，如何快速的搜集密码是一个需要我们特别关注的事情。收集了一些软件供我们使用
ripgrep递归地搜索目录中的文件以查找正则表达式匹配的内容
akawaka似乎非常简单的一个小程序，没有什么正则匹配，就是单纯的关键词搜索
感觉足够这两款软件，回来依次尝试一下

一共两篇
入门篇
进阶篇

对于分离免杀爱好者来说，他提出的这种新的方法很实用。列出三个之后代码可以修改的地方
1.自实现一些对称加密算法，例如作者爆改了RC4算法
2.修改编码，作者将Base64编码进行了修改
3.这个我觉得很牛逼所有网络通信均采用自封装模块实现,这个对于我来说非常有吸引力，回来持续研究。

最近项目中需要用到自删除这个功能，找师傅问了一下，找到几个还不错的项目
最初始的POC，我也是用的这个，很不错：Mutants_Sessions_Self-Deletion
接下来是两个结合该项目的成品：
这个我暂时没看出来哪里用了frostbyte
这个似乎就用的最开始的那个BeatRev，但这里面的设计思路非常值得学习，准备用到自己的马子上面。