2345技能员联盟

没有外部东西,怎样快速发现Windows中毒了

  • 来历:http://www.zcgjw.com/ 原创
  • 时刻:2015-07-25
  • 阅览:
  • 本文标签:病毒安全

   从事应急呼应作业几年之后,我以为总结一份快速断定核算机是否被感染木马和病毒的“办法论”是十分有用的。这明显不是那么简略的,可我却发现感染简直存在于一切不杂乱的进犯中,假如你履行了以下检测,便可发现存在感染并快速杀掉它。一切这些作业都能够由一个树立于Windows命令行功用的办理员命令提示符完结。

  1、WMIC 发动项(WMIC Startup Items)

  Windows已经有一个十分强壮的东西——WMIC,在以下几种办法中较简略为你的查询树立发动项。只需翻开一个命令提示符,然后输入【wmic startup list full】。这是一个实在的比如,猜一下哪个项目不属于其间,会是本地\临时文件夹吗?是的。假如你知道应该在列表中的东西以及一般正常运转的方位,你就能在这里暂停,一般这都十分简略。找到程序,然后在malwr.com或许VirusTotal上查找它的散列,看看它有没有感染了其他什么,然后删去。

 

  2、DNS 缓存(DNS 存储器' target='_blank'>Cache)

  翻开命令提示符,并输入【ipconfig/displaydns】。看看这些待反测的区域,有没有任何的反常现场?在VirusTotal或许其他当地寻觅他们解析的域名及IP,看是否有与之相连的样本。假如有,那么你必定被感染了。这里有一个现成的比如:

 

  3、WMIC 进程列表(WMIC Process List)

  这是WMIC另一个受欢迎的项目,输入【wmic process list full|more】,或许更紧凑可是更长的输出【wmic process get description,processed,parentprocessid,commanline/format:csv.】。寻觅在古怪当地运转的东西或许歹意、随机、称谓怪怪的程序。

 

  4、WMIC 效劳列表(WMIC Service List)

  假如你不清楚自己在寻觅什么,那这个用起来或许比较困难。可是检测便利而且简略经过途径或许exe称谓发现歹意软件。格局与其他的类似,或许你也能够得到更具体“get”版别。输入【wmic service list full| more】或许【wmic service get name,processid,startmode,state,status,pathname /format:csv】。这里有个小比如展现了只要效劳称谓和途径的状况。

 

  5、WMIC 作业列表(WMIC Job List)

  这是个看起来最不或许发现任何东西的项目,由于绝大多数歹意软件都不必jobs,可是在例如MPlug的一些版别中,是很简略检测出的。输入【wmic job list full】,你能够取得一个【没有可用实例】的回执,这就意味着没有已组织的项目在履行。

  6、Netstat

  莫忘掉根底,假如IP是谷歌或许stealyourbanknumber.su.【netstat -abno】的,输出或许需求查找来检查,即便这样能够仍是寻觅奇特的外部站点端口号码,如25、8080、6667等等。

  Netstat操控如下:

  -a 显现一切衔接和监听端口

  -b 显现参加创立每个衔接或许监听端口的可履行文件

  -n 以数字办法显现地址和端口号码

  -o 显现具有的每个与链接相关的进程ID

  7、批处理文件版别

  用一种简略可重复的办法完结这些WMIC东西并生成一份陈述,怎样样呢?我已经有了。把东西都丢到一个批处理文件中,然后设置一个主机名参数,你乃至能够在全网中使用它——取得其他核算机的恰当权限,便利进行长途评价。

  这个脚本能够让你更清楚的了解HTML格局的输出,其间包含了你从电脑中获取的信息:

  wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html

  wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html

  wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html

  wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html

  wmic /node:%1 job list full /format:htable >> c:\triage-%1.html

病毒安全http://www.zcgjw.com/content/security/virus/

相关文章

本文来自188金博宝www.zcgjw.com),转载本文请注明来历.
本文链接:http://www.zcgjw.com/content/security/virus/20150725/10694.html
热门排行