D盾web查殺工具是一款擁有源碼后門查詢分析的網絡防護軟件，可以實現webshellkill功能，讓你免費攔截各種來自網絡的攻擊，幫你更好的防范來自互聯網的病毒感染，更多webshell掃描器盡在極光下載站！

D盾最新版本介紹：

-D盾_防火墻-專為IIS設計的一個主動防御的保護軟件,以內外保護的方式 防止網站和服務器給入侵,在正常運行各類網站的情 況下，越少的功能，服務器越安全的理念而設計！ 限制了常見的入侵方法，讓服務器更安全!主動后門攔截,SESSION保護,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提權,上傳防御,未知0day防御,異 形腳本防御等等。 防止黑客入侵和提權,讓服務器更安全。

軟件功能：

-目錄限制-

有效防止入侵者通過腳本上傳危險程序或代碼,讓服務運行于安全狀態。

-執行限制-

防范入侵者執行危險程序，防范提權的發生。

-網絡限制-

禁止腳本連接本機的危險端口，如常見的Serv-U提權端口，防范通過第三方軟件的網絡端口進行提 權

禁止UDP向外發送，可有效防范UDP的DDOS攻擊，如PHPDDOS等，有效限制網絡帶寬給惡意占用

-組件限制-

禁止危險的組件,讓服務器更安全。

-.net安全-

去除 .net 一些危險基因，讓服務器更安全！

-注入防御-

防范因網站有注入問題導致服務器給入侵。

-3389防御-

防范黑客未經許可登陸你的3389，讓服務器更安全!

-防CC攻擊-

讓網站免受CC攻擊困擾！

-禁止下載某文件類型-

防止不該給下載的文件給下載,防止信息外露！

-允許執行的腳本擴展名-

有效的防止未經允許的擴展名腳本惡意執行,如：CER,CDX 等擴展名的木馬?；蚴?/1.asp/1.gif 等會執行的情況

-禁止如下目錄執行腳本-

防止圖片和上傳等可寫目錄執行腳本

-防范工具掃描網站目錄和文件信息-

讓入侵者不容易知道你的網站結構

-防范MSSQL數據庫錯誤信息反饋暴露表或數據信息-

防范信息暴露。

安裝教程：

1.安裝與使用：

請解壓全部文件到指定目錄，如C盤或D盤 例如:d:d_safe 之后運行 &D_Safe_Manage.exe& D盾程序,如果你的是IIS網站環境,請點擊“選項”頁里點擊按鈕“安裝[D盾]保護”,進行安裝，安裝時需要管理員權限.如果你的電腦不是IIS的網站環境，無需安裝保護,可當web查殺軟件使用。

安裝保護后，狀態顯示

2.誤攔的處理

當有誤攔時，請到D盾的&記錄&里查看，雙擊誤攔記錄，會彈出加白的窗口，之后點擊 [加入“白名單”]即可放行。

3.移除與卸載

如果你安裝過保護，會在開始菜單中生成快捷方式，你可以點擊“開始所有程序D盾防火墻卸載_D盾”卸載軟件。也可以在 &控制面板程序和功能&里找到“D盾防火墻”進行卸載。

如果你只是解壓使用，直接刪除D盾相關目錄的文件即可。

D盾查殺之前先確保規則庫是最新的，可以查殺最新的webshell后門。

第二步，選擇網站根目錄（根據你的實際情況）

第三步，確認后就開始掃描了，底部會顯示掃描進度，掃描后會顯示結果

1.3 后門確認與處置

掃描完成后會顯示哪些文件存在問題，如下圖：

說明：

1、顯示級別的數字越大，是木馬的可能性越大，即級別5大部分情況下都是木馬，級別1有一些敏感的參數或者函數不一定是木馬。

2、刪除后會的文件會進入隔離去（和殺毒軟件類似，可以在隔離區恢復）

注意：

1、對于說明中的第一點，即便是級別5的文件，建議每個文件去查看，如果自己不能確認可以讓客戶幫忙查看是否是業務系統文件，訪問是否正常，得到客戶確認才能刪除。所以備份非常重要：對于所有要刪除的文件刪除前一定要做好備份工作，備份文件名稱和文件所對應的路徑，誤刪除可能會導致客戶業務系統異常。

2、在查殺的界面刪除后，文件會被放到隔離文件中，會在D盾同一個目錄下有文件生成，如果需要恢復，可以在隔離區中恢復文件。如下圖：

2、D盾的高級使用功能

2.1 端口及進程查看

1）端口查看

D盾可以查看系統上端口開放和連接建立的情況，在排查勒索病毒的時候可以查看如3389、135、445端口有沒有對外開放，如下圖：

2）進程查看

進程查看中可以看到當前正常運行的進程，而且在每個進程下面都可以看到加載的dll文件，可以作為輔助。

2.2 克隆賬號檢測

克隆賬號檢測需要以管理員身份運行D盾，如下圖，右鍵以管理員身份運行：

點擊【工具】【克隆賬號檢測】可以查看是否被黑客新建了用戶，如下圖：

3、文件監控

文件監控是D盾工具的優勢功能，一般的webshell查殺工具不會有，他可以監控目錄下文件的變化情況，這種場景在暫時沒有日志或者是暫時沒有發現黑客的web入侵途徑時比較有用，操作也比較簡單。

第一步：把需要監控的目錄寫到監控目錄欄目中并啟動監控，如下圖：

注意：需要監控的擴展過濾可以根據自己的需要手工添加，一般默認即可。

第二步：在監控目錄下面修改文件

第三步：在文件監控中查看

開啟文件監控可以在安全日志不全或者POST記錄缺失的情況下部分還原攻擊者的攻擊路徑，對于排查問題有一定幫助。

更新通知：

v2.1.5.4 版本

1.修正用戶反饋的一些問題 (v2.1.5.3 的用戶請升級)。

2.加處 phar:// 檢測，防范觸發式后門的加載。

3.修正 v2.1.5.3 中某些機器上隨機性php的500錯誤(v2.1.5.3 的用戶請升級)。

4.針對phpStudy某些PHP版本中的 php_xmlrpc.dll 中的后門識別，并自動免疫處理(建意使用phpStudy的用戶升級)。

v2.1.5.2版本

1.支持32位池保護64位的PHP （一直沒有解決的問題，終于解決）

2.針對近期樣本加強查殺識別。

3.加入 .net 中網站目錄內的bin的編譯放行，減少不必要的執行誤攔。

4.解決某些服務器上加白無效的問題。

5.加強asp下的GET/POST檢測識別。

6.修正cookie識別上的bug。

7.修正&3389防御&中某些服務器啟用“禁止從本地登陸服務器”后，會自動斷開沒問題的連接的問題。

8.支持asp引用的安全性檢測和加強PHP的引用非php擴展時的文件安全性。

9.加入一些API的內容檢測。

10.加入POST時不認識的流數據的檢測。

11.加嚴執行命令的檢測。

12.修正用戶反饋的一些問題。

13.修正mysql降權帶空格目錄時無法正常識別的BUG，針對mysql服務使用管理員帳號的情況下也能降權。

14.加入命令行查殺命令

v2.1.4.8版本

修正 win2012/win2016 32位池下不能正常使用的問題。

針對用戶反饋的樣本，加強查殺識別能力。

修正大量用戶反饋的兼容問題，并能識別更多的環境信息，減少誤攔。

減少POST提交的誤攔問題。

修正32位池時的php5.6不能正常使用的問題。

記錄支持多選，支持同時選擇多行記錄并復制出不一樣的IP,方便用戶操作。

加入“瀏覽器過濾”功能。

防CC加入更多選項。

修正因D盾記錄數據庫文件過大不能繼續記錄的問題，加入自動壓縮數據庫功能，防止記錄文件過大。

v2.1.4.4 更新

1.修正 php5.3 的sql安全性檢測無效的問題。

2.修正查殺的隔離文件，還原時會還原全部隔離文件的BUG。

3.修正win2016的組件保護失敗問題。