1.文件分析-启动项目
一般来说,各种恶意程序,如蠕虫和病毒,在计算机启动时会自动启动
在Windows系统中,您可以以三个方式查看启动项目:
(1)任务管理器
(二)使用msconfig
(三)使用注册表重新编辑
2.文件分析-临时异常tmp文件
tmp(临时文件),用%temp%打开文件夹
检查调试文件夹以找到PE文件(exedllsys),或是否有特别大的tmp文件
将文件上传到威胁分析平台,查看是否有恶意活动
3.文件分析-浏览器信息分析
在被黑客拿下的服务器后,很有可能会使用浏览器进行网站的访问,因此我们可以查看浏览器记录,探索浏览器是否被使用,下载恶意代码 查看浏览器记录:brosinghiatoryview
下载地址: https://ww.nirsoft.Net/utils/browsing_history_view.html
可以查看文件名称、下载地址、网页地址、开始下载时间、结束时间、保存位置等等
浏览器文件下载记录视图:broserdownloadview下载地址: https://ww.nirsoft.Net/utils/web_browser_downloads_view.html浏览器cookie信息视图: chromecookiesview,iecv,edgecookiesview
下载:仅搜索,浏览网站下载
4.文件分析-文件时间属性
在Windows中,文件属性时间属性有:创建时间、修改时间、访问时间(默认禁用)
默认情况下,计算机显示修改时间
右击文件、属性、视图文件创建时间、修改时间、访问时间
如果修改时间比创建时间早,则文件存在非常可疑,使用工具如中文菜单修改器,通过文件属性可以找到创建时间、修改时间、访问时间
5.文件分析-最近打开的文件分析
在Windows系统默认记录系统中打开最新文件时使用的文件信息
输入%userprofile%Recent
find /?
找到参数“找到内容”文件路径
6. 过程分析- 检测和关闭可疑过程
计算机和外部网络通信是基于tcp或uDP协议的,每个通信都有不同的端口(0–65535)。如果电脑坏了,当然会与外部网络沟通,然后通过查看网络连接状态来找到相应的进程ID,然后关闭进程ID来关闭连接状态
netstat -ano | find "ESTABLISHED" View Network 建立连接状态
任务列表 /svc | 找到 "PID" 查看与特定PID进程相关的程序
taskkill/PIDpid值
7.系统信息-Windows规划任务
在计算机中,可以设定一个计算任务并在一定时间执行一个固定操作,一般来说,恶意代码也可以在一定时间执行
使用 schtasks命令查看
或在管理器中查看项目任务管理
8系统信息-隐藏帐户检测和删除
隐藏账户,是指“黑客”入侵之后为了能持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户
创建一个隐藏帐户的最简单的方法是:
net user test$ test /add
net localgroup adminstrator test$ /add
符号会导致系统管理员使用
n
e
t
u
s
e
r
你当时看不见了
t
e
s
t
符号会导致系统管理员使用net user时无法看到test
符号会导致系统管理员使用
n
e
t
u
ser
时无法看到
t
es
t
用户
恶性过程-检测和关闭
在窗口系统运行过程中的恶意代码,将以处理方式显示,在恶意过程中,有各种恶意行为,对于可执行程序,你可以直接使用杀虫剂软件检测杀伤,但并非所有恶意程序都能被起诉,此时可以手动查杀,使用psexplore工具,然后对 virustotal.com进行分析,关闭与恶意软件有关的服务
在option.com中选择virutotal
选择使用 virustotal.com
找到红色标记的过程并关闭它
10.系统信息-补丁视图和更新
windows系统支持补丁以修补漏洞,可以使用systemInfo查看系统信息,并展示对应的补丁信息编号,也可以在卸载软件中查看系统补丁和第三方软件补丁
在Win10中,使用win+i短cut并选择窗口更新
