自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

沒(méi)有外部工具,如何快速發(fā)現(xiàn)Windows中毒了

安全 網(wǎng)站安全
從事應(yīng)急響應(yīng)工作幾年之后,我認(rèn)為總結(jié)一份快速確定計(jì)算機(jī)是否被感染木馬和病毒的“方法論”是十分有用的。這顯然不是那么簡(jiǎn)單的,可我卻發(fā)現(xiàn)感染幾乎存在于所有不復(fù)雜的攻擊中。

從事應(yīng)急響應(yīng)工作幾年之后,我認(rèn)為總結(jié)一份快速確定計(jì)算機(jī)是否被感染木馬和病毒的“方法論”是十分有用的。這顯然不是那么簡(jiǎn)單的,可我卻發(fā)現(xiàn)感染幾乎存在于所有不復(fù)雜的攻擊中,如果你執(zhí)行了以下檢測(cè),便可發(fā)現(xiàn)存在感染并快速殺掉它。所有這些事情都可以由一個(gè)建立于Windows命令行功能的管理員命令提示符完成。

沒(méi)有外部工具,如何快速發(fā)現(xiàn)Windows中毒了

1、WMIC 啟動(dòng)項(xiàng)(WMIC Startup Items)

Windows已經(jīng)有一個(gè)非常強(qiáng)大的工具——WMIC,在以下幾種方式中較容易為你的調(diào)查建立啟動(dòng)項(xiàng)。只需打開(kāi)一個(gè)命令提示符,然后輸入【wmic startup list full】。這是一個(gè)真實(shí)的例子,猜一下哪個(gè)項(xiàng)目不屬于其中,會(huì)是本地\臨時(shí)文件夾嗎?是的。如果你知道應(yīng)該在列表中的東西以及一般正常運(yùn)行的位置,你就能在這里暫停,通常這都非常簡(jiǎn)單。找到程序,然后在malwr.com或者VirusTotal上查找它的散列,看看它有沒(méi)有感染了其他什么,然后刪除。

沒(méi)有外部工具,如何快速發(fā)現(xiàn)Windows中毒了

 

2、DNS 緩存(DNS Cache)

打開(kāi)命令提示符,并輸入【ipconfig/displaydns】。看看這些待反測(cè)的區(qū)域,有沒(méi)有任何的異?,F(xiàn)場(chǎng)?在VirusTotal或者其他地方尋找他們解析的域名及IP,看是否有與之相連的樣本。如果有,那么你肯定被感染了。這里有一個(gè)現(xiàn)成的例子:

沒(méi)有外部工具,如何快速發(fā)現(xiàn)Windows中毒了

3、WMIC 進(jìn)程列表(WMIC Process List)

這是WMIC另一個(gè)受歡迎的項(xiàng)目,輸入【wmic process list full|more】,或者更緊湊但是更長(zhǎng)的輸出【wmic process get description,processed,parentprocessid,commanline/format:csv.】。尋找在奇怪地方運(yùn)行的東西或者惡意、隨機(jī)、名稱怪怪的程序。

沒(méi)有外部工具,如何快速發(fā)現(xiàn)Windows中毒了

 

4、WMIC 服務(wù)列表(WMIC Service List)

如果你不清楚自己在尋找什么,那這個(gè)用起來(lái)可能比較困難。但是檢測(cè)方便并且容易通過(guò)路徑或者exe名稱發(fā)現(xiàn)惡意軟件。格式與其他的相似,或者你也可以得到更具體“get”版本。輸入【wmic service list full| more】或者【wmic service get name,processid,startmode,state,status,pathname /format:csv】。這里有個(gè)小例子展示了只有服務(wù)名稱和路徑的情況。

沒(méi)有外部工具,如何快速發(fā)現(xiàn)Windows中毒了

 

5、WMIC 工作列表(WMIC Job List)

這是個(gè)看起來(lái)最不可能發(fā)現(xiàn)任何東西的項(xiàng)目,因?yàn)榻^大多數(shù)惡意軟件都不用jobs,但是在例如MPlug的一些版本中,是很容易檢測(cè)出的。輸入【wmic job list full】,你能夠獲得一個(gè)【沒(méi)有可用實(shí)例】的回執(zhí),這就意味著沒(méi)有已安排的項(xiàng)目在執(zhí)行。

6、Netstat

莫忘記基礎(chǔ),如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的,輸出可能需要搜索來(lái)查看,即使這樣可以還是尋找奇異的外部站點(diǎn)端口號(hào)碼,如25、8080、6667等等。

Netstat控制如下:

-a 顯示所有連接和監(jiān)聽(tīng)端口

-b 顯示參與創(chuàng)建每個(gè)連接或者監(jiān)聽(tīng)端口的可執(zhí)行文件

-n 以數(shù)字形式顯示地址和端口號(hào)碼

-o 顯示擁有的每個(gè)與鏈接相關(guān)的進(jìn)程ID

7、批處理文件版本

用一種簡(jiǎn)單可重復(fù)的方式完成這些WMIC東西并生成一份報(bào)告,怎么樣呢?我已經(jīng)有了。把東西都丟到一個(gè)批處理文件中,然后設(shè)置一個(gè)主機(jī)名參數(shù),你甚至能夠在全網(wǎng)中使用它——獲得其他計(jì)算機(jī)的適當(dāng)權(quán)限,方便進(jìn)行遠(yuǎn)程評(píng)估。

這個(gè)腳本可以讓你更清楚的了解HTML格式的輸出,其中包括了你從電腦中獲取的信息:

wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html
wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html
wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html
wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html
wmic /node:%1 job list full /format:htable >> c:\triage-%1.html
責(zé)任編輯:藍(lán)雨淚 來(lái)源: FreeBuf
相關(guān)推薦

2020-06-15 08:39:41

調(diào)試工具

2022-07-25 11:32:37

服務(wù)器支付失敗

2019-02-01 09:10:01

2009-02-09 09:42:00

2021-04-16 15:09:25

Windows 10Windows微軟

2021-05-05 22:32:55

U盤(pán)電腦病毒

2020-07-08 09:50:37

Java內(nèi)存快速定位

2019-04-15 14:17:28

iTunes蘋(píng)果macOS

2017-07-17 09:18:15

服務(wù)器故障FDM

2017-02-27 09:28:28

2015-08-06 10:28:34

Windows 10隱私

2024-11-06 16:00:16

2022-01-06 11:10:01

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2012-10-30 15:37:23

2023-11-03 07:25:56

語(yǔ)言模型知識(shí)圖譜

2009-11-19 09:13:36

2024-06-10 23:07:05

2011-08-19 13:47:53

windows7入門(mén)工具

2020-04-08 12:32:05

APPAndroid谷歌

2017-10-25 11:42:32

macOS操作界面
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)