D盾web查殺工具是一款擁有源碼后門(mén)查詢分析的網(wǎng)絡(luò)防護(hù)軟件，可以實(shí)現(xiàn)webshellkill功能，讓你免費(fèi)攔截各種來(lái)自網(wǎng)絡(luò)的攻擊，幫你更好的防范來(lái)自互聯(lián)網(wǎng)的病毒感染，更多webshell掃描器盡在極光下載站！

D盾最新版本介紹：

-D盾_防火墻-專為IIS設(shè)計(jì)的一個(gè)主動(dòng)防御的保護(hù)軟件,以內(nèi)外保護(hù)的方式 防止網(wǎng)站和服務(wù)器給入侵,在正常運(yùn)行各類網(wǎng)站的情 況下，越少的功能，服務(wù)器越安全的理念而設(shè)計(jì)！ 限制了常見(jiàn)的入侵方法，讓服務(wù)器更安全!主動(dòng)后門(mén)攔截,SESSION保護(hù),防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提權(quán),上傳防御,未知0day防御,異 形腳本防御等等。 防止黑客入侵和提權(quán),讓服務(wù)器更安全。

軟件功能：

-目錄限制-

有效防止入侵者通過(guò)腳本上傳危險(xiǎn)程序或代碼,讓服務(wù)運(yùn)行于安全狀態(tài)。

-執(zhí)行限制-

防范入侵者執(zhí)行危險(xiǎn)程序，防范提權(quán)的發(fā)生。

-網(wǎng)絡(luò)限制-

禁止腳本連接本機(jī)的危險(xiǎn)端口，如常見(jiàn)的Serv-U提權(quán)端口，防范通過(guò)第三方軟件的網(wǎng)絡(luò)端口進(jìn)行提 權(quán)

禁止UDP向外發(fā)送，可有效防范UDP的DDOS攻擊，如PHPDDOS等，有效限制網(wǎng)絡(luò)帶寬給惡意占用

-組件限制-

禁止危險(xiǎn)的組件,讓服務(wù)器更安全。

-.net安全-

去除 .net 一些危險(xiǎn)基因，讓服務(wù)器更安全！

-注入防御-

防范因網(wǎng)站有注入問(wèn)題導(dǎo)致服務(wù)器給入侵。

-3389防御-

防范黑客未經(jīng)許可登陸你的3389，讓服務(wù)器更安全!

-防CC攻擊-

讓網(wǎng)站免受CC攻擊困擾！

-禁止下載某文件類型-

防止不該給下載的文件給下載,防止信息外露！

-允許執(zhí)行的腳本擴(kuò)展名-

有效的防止未經(jīng)允許的擴(kuò)展名腳本惡意執(zhí)行,如：CER,CDX 等擴(kuò)展名的木馬。或是 /1.asp/1.gif 等會(huì)執(zhí)行的情況

-禁止如下目錄執(zhí)行腳本-

防止圖片和上傳等可寫(xiě)目錄執(zhí)行腳本

-防范工具掃描網(wǎng)站目錄和文件信息-

讓入侵者不容易知道你的網(wǎng)站結(jié)構(gòu)

-防范MSSQL數(shù)據(jù)庫(kù)錯(cuò)誤信息反饋暴露表或數(shù)據(jù)信息-

防范信息暴露。

安裝教程：

1.安裝與使用：

請(qǐng)解壓全部文件到指定目錄，如C盤(pán)或D盤(pán) 例如:d:d_safe 之后運(yùn)行 &D_Safe_Manage.exe& D盾程序,如果你的是IIS網(wǎng)站環(huán)境,請(qǐng)點(diǎn)擊“選項(xiàng)”頁(yè)里點(diǎn)擊按鈕“安裝[D盾]保護(hù)”,進(jìn)行安裝，安裝時(shí)需要管理員權(quán)限.如果你的電腦不是IIS的網(wǎng)站環(huán)境，無(wú)需安裝保護(hù),可當(dāng)web查殺軟件使用。

安裝保護(hù)后，狀態(tài)顯示

2.誤攔的處理

當(dāng)有誤攔時(shí)，請(qǐng)到D盾的&記錄&里查看，雙擊誤攔記錄，會(huì)彈出加白的窗口，之后點(diǎn)擊 [加入“白名單”]即可放行。

3.移除與卸載

如果你安裝過(guò)保護(hù)，會(huì)在開(kāi)始菜單中生成快捷方式，你可以點(diǎn)擊“開(kāi)始所有程序D盾防火墻卸載_D盾”卸載軟件。也可以在 &控制面板程序和功能&里找到“D盾防火墻”進(jìn)行卸載。

如果你只是解壓使用，直接刪除D盾相關(guān)目錄的文件即可。

D盾查殺之前先確保規(guī)則庫(kù)是最新的，可以查殺最新的webshell后門(mén)。

第二步，選擇網(wǎng)站根目錄（根據(jù)你的實(shí)際情況）

第三步，確認(rèn)后就開(kāi)始掃描了，底部會(huì)顯示掃描進(jìn)度，掃描后會(huì)顯示結(jié)果

1.3 后門(mén)確認(rèn)與處置

掃描完成后會(huì)顯示哪些文件存在問(wèn)題，如下圖：

說(shuō)明：

1、顯示級(jí)別的數(shù)字越大，是木馬的可能性越大，即級(jí)別5大部分情況下都是木馬，級(jí)別1有一些敏感的參數(shù)或者函數(shù)不一定是木馬。

2、刪除后會(huì)的文件會(huì)進(jìn)入隔離去（和殺毒軟件類似，可以在隔離區(qū)恢復(fù)）

注意：

1、對(duì)于說(shuō)明中的第一點(diǎn)，即便是級(jí)別5的文件，建議每個(gè)文件去查看，如果自己不能確認(rèn)可以讓客戶幫忙查看是否是業(yè)務(wù)系統(tǒng)文件，訪問(wèn)是否正常，得到客戶確認(rèn)才能刪除。所以備份非常重要：對(duì)于所有要?jiǎng)h除的文件刪除前一定要做好備份工作，備份文件名稱和文件所對(duì)應(yīng)的路徑，誤刪除可能會(huì)導(dǎo)致客戶業(yè)務(wù)系統(tǒng)異常。

2、在查殺的界面刪除后，文件會(huì)被放到隔離文件中，會(huì)在D盾同一個(gè)目錄下有文件生成，如果需要恢復(fù)，可以在隔離區(qū)中恢復(fù)文件。如下圖：

2、D盾的高級(jí)使用功能

2.1 端口及進(jìn)程查看

1）端口查看

D盾可以查看系統(tǒng)上端口開(kāi)放和連接建立的情況，在排查勒索病毒的時(shí)候可以查看如3389、135、445端口有沒(méi)有對(duì)外開(kāi)放，如下圖：

2）進(jìn)程查看

進(jìn)程查看中可以看到當(dāng)前正常運(yùn)行的進(jìn)程，而且在每個(gè)進(jìn)程下面都可以看到加載的dll文件，可以作為輔助。

2.2 克隆賬號(hào)檢測(cè)

克隆賬號(hào)檢測(cè)需要以管理員身份運(yùn)行D盾，如下圖，右鍵以管理員身份運(yùn)行：

點(diǎn)擊【工具】【克隆賬號(hào)檢測(cè)】可以查看是否被黑客新建了用戶，如下圖：

3、文件監(jiān)控

文件監(jiān)控是D盾工具的優(yōu)勢(shì)功能，一般的webshell查殺工具不會(huì)有，他可以監(jiān)控目錄下文件的變化情況，這種場(chǎng)景在暫時(shí)沒(méi)有日志或者是暫時(shí)沒(méi)有發(fā)現(xiàn)黑客的web入侵途徑時(shí)比較有用，操作也比較簡(jiǎn)單。

第一步：把需要監(jiān)控的目錄寫(xiě)到監(jiān)控目錄欄目中并啟動(dòng)監(jiān)控，如下圖：

注意：需要監(jiān)控的擴(kuò)展過(guò)濾可以根據(jù)自己的需要手工添加，一般默認(rèn)即可。

第二步：在監(jiān)控目錄下面修改文件

第三步：在文件監(jiān)控中查看

開(kāi)啟文件監(jiān)控可以在安全日志不全或者POST記錄缺失的情況下部分還原攻擊者的攻擊路徑，對(duì)于排查問(wèn)題有一定幫助。

更新通知：

v2.1.5.4 版本

1.修正用戶反饋的一些問(wèn)題 (v2.1.5.3 的用戶請(qǐng)升級(jí))。

2.加處 phar:// 檢測(cè)，防范觸發(fā)式后門(mén)的加載。

3.修正 v2.1.5.3 中某些機(jī)器上隨機(jī)性php的500錯(cuò)誤(v2.1.5.3 的用戶請(qǐng)升級(jí))。

4.針對(duì)phpStudy某些PHP版本中的 php_xmlrpc.dll 中的后門(mén)識(shí)別，并自動(dòng)免疫處理(建意使用phpStudy的用戶升級(jí))。

v2.1.5.2版本

1.支持32位池保護(hù)64位的PHP （一直沒(méi)有解決的問(wèn)題，終于解決）

2.針對(duì)近期樣本加強(qiáng)查殺識(shí)別。

3.加入 .net 中網(wǎng)站目錄內(nèi)的bin的編譯放行，減少不必要的執(zhí)行誤攔。

4.解決某些服務(wù)器上加白無(wú)效的問(wèn)題。

5.加強(qiáng)asp下的GET/POST檢測(cè)識(shí)別。

6.修正cookie識(shí)別上的bug。

7.修正&3389防御&中某些服務(wù)器啟用“禁止從本地登陸服務(wù)器”后，會(huì)自動(dòng)斷開(kāi)沒(méi)問(wèn)題的連接的問(wèn)題。

8.支持asp引用的安全性檢測(cè)和加強(qiáng)PHP的引用非php擴(kuò)展時(shí)的文件安全性。

9.加入一些API的內(nèi)容檢測(cè)。

10.加入POST時(shí)不認(rèn)識(shí)的流數(shù)據(jù)的檢測(cè)。

11.加嚴(yán)執(zhí)行命令的檢測(cè)。

12.修正用戶反饋的一些問(wèn)題。

13.修正mysql降權(quán)帶空格目錄時(shí)無(wú)法正常識(shí)別的BUG，針對(duì)mysql服務(wù)使用管理員帳號(hào)的情況下也能降權(quán)。

14.加入命令行查殺命令

v2.1.4.8版本

修正 win2012/win2016 32位池下不能正常使用的問(wèn)題。

針對(duì)用戶反饋的樣本，加強(qiáng)查殺識(shí)別能力。

修正大量用戶反饋的兼容問(wèn)題，并能識(shí)別更多的環(huán)境信息，減少誤攔。

減少POST提交的誤攔問(wèn)題。

修正32位池時(shí)的php5.6不能正常使用的問(wèn)題。

記錄支持多選，支持同時(shí)選擇多行記錄并復(fù)制出不一樣的IP,方便用戶操作。

加入“瀏覽器過(guò)濾”功能。

防CC加入更多選項(xiàng)。

修正因D盾記錄數(shù)據(jù)庫(kù)文件過(guò)大不能繼續(xù)記錄的問(wèn)題，加入自動(dòng)壓縮數(shù)據(jù)庫(kù)功能，防止記錄文件過(guò)大。

v2.1.4.4 更新

1.修正 php5.3 的sql安全性檢測(cè)無(wú)效的問(wèn)題。

2.修正查殺的隔離文件，還原時(shí)會(huì)還原全部隔離文件的BUG。

3.修正win2016的組件保護(hù)失敗問(wèn)題。