> AG8故障 > 顯卡故障 > 不用外部工具教你如何快速檢查AG8是否被感染和中毒

不用外部工具教你如何快速檢查AG8是否被感染和中毒

2018-05-01 07:34  來源:www.  作者:AG8十萬個為什么  瀏覽:

     
     從事應急響應工作幾年之后,我認為總結一份快速確定計算機是否被感染木馬和病毒的“方法論”是十分有用的。這顯然不是那么簡單的,可我卻發現感染幾乎存在于所有不復雜的攻擊中,如果你執行了以下檢測,便可發現存在感染并快速殺掉它。 所有這些事情都可以由一個建立于Windows命令行功能的管理員命令提示符完成。
     1、WMIC啟動項
     Windows已經有一個非常強大的工具——WMIC,在以下幾種方式中較容易為你的調查建立啟動項。只需打開一個命令提示符,然后輸入。這是一個真實的例子,猜一下哪個項目不屬于其中,會是本地臨時文件夾嗎?是的。如果你知道應該在列表中的東西以及一般正常運行的位置,你就能在這里暫停,通常這都非常簡單。找到程序,然后在或者上查找它的散列,看看它有沒有感染了其他什么,然后刪除。
     2、DNS緩存
     打開命令提示符,并輸入。看看這些待反測的區域,有沒有任何的異常現場?在或者其他地方尋找他們解析的域名及IP,看是否有與之相連的樣本。如果有,那么你肯定被感染了。這里有一個現成的例子:
     3、WMIC進程列表
     這是WMIC另一個受歡迎的項目,輸入,或者更緊湊但是更長的輸出。尋找在奇怪地方運行的東西或者惡意、隨機、名稱怪怪的程序。
     4、WMIC服務列表
     如果你不清楚自己在尋找什么,那這個用起來可能比較困難。但是檢測方便并且容易通過路徑或者exe名稱發現惡意軟件。格式與其他的相似,或者你也可以得到更具體“get”版本。輸入或者。這里有個小例子展示了只有服務名稱和路徑的情況。
     5、WMIC工作列表
     這是個看起來最不可能發現任何東西的項目,因為絕大多數惡意軟件都不用jobs,但是在例如MPlug的一些版本中,是很容易檢測出的。輸入,你能夠獲得一個的回執,這就意味著沒有已安排的項目在執行。
     6、
     莫忘記基礎,如果IP是谷歌或者stealyourbanknumber.su.的,輸出可能需要搜索來查看,即使這樣可以還是尋找奇異的外部站點端口號碼,如25、8080、6667等等。
     控制如下:
     -a 顯示所有連接和監聽端口-b 顯示參與創建每個連接或者監聽端口的可執行文件-n 以數字形式顯示地址和端口號碼-o 顯示擁有的每個與鏈接相關的進程ID7、批處理文件版本
     用一種簡單可重復的方式完成這些WMIC東西并生成一份報告,怎么樣呢?我已經有了。把東西都丟到一個批處理文件中,然后設置一個主機名參數,你甚至能夠在全網中使用它——獲得其他計算機的適當權限,方便進行遠程評估

上一篇:農行網銀K寶密碼忘了的解決方法  |  下一篇:沒有了
聲明:本站資源部分來自互聯網,版權歸原作者所有。如有侵犯您的權益 請聯系我們,本站將在第一時間刪除。站內網友所發表所有評論不代表本站立場。
CopyRight © 2011-2013 www. All Rights Reserved. 蜀ICP備11015029號
網站地圖 |