2345技术员同盟

没有内部对象,如何疾速发现Windows中毒了

  • 来源:/ 原创
  • 光阴>2019-05-17
  • 阅读:
  • 本文标签:病毒平安

   从事应急相应工作几年之后,我认为总结一份疾速确定计算机是否被感染木马和病毒的“办法论”是十分有用的。这显然不是那么简略的,可我却发现感染几乎存在于统统不复杂的攻击中,如果你履行了如下检测,便可发现存在感染并疾速杀掉它。统统这些工作都可以或许或许由一个树立于Windows命令行功效的办理员命令提醒符实现。

  1、WMIC 启动项(WMIC Startup Items)

  Windows已经有一个非常壮大的对象——WMIC,在如下几种办法中较容易为你的调查树立启动项。只需打开一个命令提醒符,然后输入【wmic startup list full】。这是一个真实的例子,猜一下哪个项目不属于此中,会是本地\临时文件夹吗?是的。如果你知道应该在列表中的东西和一样平常正常运行的地位,你就能在这里暂停,通常这都非常简略。找到程序,然后在malwr.com或许VirusTotal上查找它的散列,看看它有没有感染了其余什么,然后删除。

 

  2、DNS 缓存(DNS 存储器' target='_blank'>Cache)

  打开命令提醒符,并输入【ipconfig/displaydns】。看看这些待反测的地区,有没有任何的异常现场?在VirusTotal或许其余地方寻找他咱咱们解析的域名及IP,看是否有与之相连的样本。如果有,那么你确定被感染了。这里有一个现成的例子:

 

  3、WMIC 过程列表(WMIC Process List)

  这是WMIC另外一个受迎接的项目,输入【wmic process list full|more】,或许更紧凑但是更长的输入【wmic process get description,processed,parentprocessid,commanline/format:csv.】。寻找在奇怪地方运行的东西或许恶意、随机、名称怪怪的程序。

 

  4、WMIC 效劳列表(WMIC Service List)

  如果你不清楚自己在寻找什么,那这个用起来可能比较艰难。但是检测便利而且容易颠末过程门路或许exe名称发现恶意软件。格式与其余的相似,或许你也可以或许或许获得更详细“get”版本。输入【wmic service list full| more】或许【wmic service get name,processid,startmode,state,status,pathname /format:csv】。这里有个小例子展现了只要用劳名称和门路的环境。

 

  5、WMIC 工作列表(WMIC Job List)

  这是个看起来最不行能发现任味的项目,因为绝大多数恶意软件都不用jobs,但是在例如MPlug的一些版本中,是很容易检测出的。输入【wmic job list full】,你可以或许或许获得一个【没有可用实例】的回执,这就意味着没有已支配的项目在履行。

  6、Netstat

  莫忘记基础,如果IP是谷歌或许stealyourbanknumber.su.【netstat -abno】的,输入可能必要搜索来检查,即使如许可以或许或许还是寻找奇异的内部站点端口号码,如25、8080、6667等等。

  Netstat节制如下:

  -a 显示统统衔接和监听端口

  -b 显示介入创建每个衔接或许监听端口的可履行文件

  -n 以数字情势显示地址和端口号码

  -o 显示拥有的每个与链接相干的过程ID

  7、批处理文件版本

  用一种简略可重复的办法实现这些WMIC东西并天生一份申报,怎么样呢?我已经有了。把东西都丢到一个批处理文件中,然后设置一个主机名参数,你甚至可以或许或许在全网中应用它——获得其余计算机的适当权限,便利停止长途评估。

  这个脚本可以或许或许让你更清楚的了解HTML格式的输入,此中包含了你从电脑中获得的信息:

  wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html

  wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html

  wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html

  wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html

  wmic /node:%1 job list full /format:htable >> c:\triage-%1.html

病毒平安/content/security/virus/

相干文章

本文来自蚂蚁视觉创意网www.myjzbx.com),转载本文请注明来源.
本文链接:/content/security/virus/20150725/10694.html
热门排行
无觅相干文章插件,疾速晋升流量
友情链接:志趣  宠物资讯网  金华口腔医学网  摩托车配件网  中国视野新闻网  520男人网  乐高教育信息网  贵州省招生考试院  塑料在线网  家具品牌大全网