排查思路
后门账号
Runregedit查看管理员相应的键值HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers
定时任务
打开任务调度器检查是否运行 taskschd.msc
启动项
检查是否有运行shell:startup的恶意程序
本地策略组启动项
检查本地组策略是否有运行gpedit.msc的可疑脚本
服务启动项
检查服务名称、描述和路径是否异常 Runservecis.msc
异常进程
检查是否存在一个可疑的过程。 您可以使用 PE工具查看内容
异常网络连接
恶意软件经常伴随异常的外部连接和异常的端口开关 Netstat –ano # 查看网络连接和端口开关
系统日志
运行事件vwr.msc,打开事件查看器
异常文件
使用D-Eyes扫描
发现两个可疑文件
把它扔到云沙盒上,看看 https://s.threatbook.cn/
恶意文件的fscan
我们正在查看另一个.exe文件,也是恶意文件
多个检测显示了文件名的变化
到这时,检测已经完成,只有两个恶意文件被发现,没有其他问题。