c++如何检查反弹 shell ?

方法一:目前我实现的一种方法是调用 GetExtendedTcpTable 函数来获取 TCP 连接列表然后获取该 TCP 进程的地址,通过地址来获取进程的句柄,然后对进程名称进行检测。

方法二:获取进程PID然后通过CreateRemoteThread函数注入一个线程然后执行GetCommandLine函数来获取进程的命令行参数(有些参数无法获取到,方法已pass)

已经知该1方法方法存在严重的绕过,比如换个进程名称就没了
进程是 windows 上面的,所以 linux 上面的检测方法无法使用
各位大佬有什么思路可以提供下吗?自闭好久了

各位安全开发的大佬ddddhm

。。。。。。。。。。。。。。。。。。。。。。无尽的叹息,说方法不等于教别人怎么绕了吗?(

:face_with_monocle:应该有统一的思路不容易绕过的那种

我认为不存在你说的这种 (。

记得看过有一篇讲反弹shell检测方式的,一个是进程黑名单,另一个是文件描述符重定向特征。

你这个要检查线程的,像MSF那种注入DLL类型的你也要检查的,也要hook进程,详细的话我觉得还是要特征库