电脑频道 手机频道
网络技能 路由器
电脑零碎 电脑蓝屏
游戏攻略 明星八卦
钱汇娱乐网 最新更新
首页 > 病毒平安>注释 通告: 为呼应国度净网举动,局部内容曾经删除,感激网友了解。

没有内部东西,怎样疾速发明Windows中毒了

【2017-03-09 12:30:00】 泉源:网络 作者:福州电脑之家 批评:

  从事应急呼应任务几年之后,我以为总结一份疾速确定盘算机能否被熏染木马和病毒的“办法论”是非常有效的。这显然不是那么复杂的,可我却发明熏染简直存在于一切不庞大的打击中,假如你实行了以下检测,便可发明存在熏染并疾速杀失它。一切这些事变都可以由一个树立于Windows下令行功用的办理员下令提示符完成。

  1、WMIC 启动项(WMIC Startup Items)

  Windows曾经有一个十分弱小的东西——WMIC,在以下几种方法中较容易为你的观察树立启动项。只需翻开一个下令提示符,然后输出【wmic startup list full】。这是一个真实的例子,猜一下哪个项目不属于此中,会是当地暂时文件夹吗?是的。假如你晓得应该在列表中的工具以及普通正常运转的地位,你就能在这里停息,通常这都十分复杂。找到顺序,然后在malwr.com或许VirusTotal上查找它的散列,看看它有没有熏染了其他什么,然后删除。

\

  2、DNS 缓存(DNS Cache)

  翻开下令提示符,并输出【ipconfig/displaydns】。看看这些待反测的地区,有没有任何的非常现场?在VirusTotal或许其他中央寻觅他们剖析的域名及IP,看能否有与之相连的样本。假如有,那么你一定被熏染了。这里有一个现成的例子:

\

  3、WMIC 历程列表(WMIC Process List)

  这是WMIC另一个受欢送的项目,输出【wmic process list full|more】,或许更紧凑但是更长的输入【wmic process get description,processed,parentprocessid,commanline/format:csv.】。寻觅在奇异中央运转的工具或许歹意、随机、称号怪怪的顺序。

\

  4、WMIC 效劳列表(WMIC Service List)

  假如你不清晰本人在寻觅什么,那这个用起来能够比拟困难。但是检测方便而且容易经过途径或许exe称号发明歹意软件。款式与其他的类似,或许你也可以失掉更详细“get”版本。输出【wmic service list full| more】或许【wmic service get name,processid,startmode,state,status,pathname /format:csv】。这里有个小例子展现了只要效劳称号和途径的状况。

\

  5、WMIC 任务列表(WMIC Job List)

  这是个看起来最不行能发明任何工具的项目,由于绝大少数歹意软件都不必jobs,但是在比方MPlug的一些版本中,是很容易检测出的。输出【wmic job list full】,你可以取得一个【没有可用实例】的回执,这就意味着没有已布置的项目在实行。

  6、Netstat

  莫遗忘根底,假如IP是谷歌或许stealyourbanknumber.su.【netstat -abno】的,输入能够需求搜刮来检查,即便如许可以照旧寻觅奇特的内部站点端标语码,如25、8080、6667等等。

  Netstat控制如下:

  -a 表现一切衔接和监听端口

  -b 表现到场创立每个衔接或许监听端口的可实行文件

  -n 以数字方式表现地点和端标语码

  -o 表现拥有的每个与链接相干的历程ID

  7、批处置文件版本

  用一种复杂可反复的方法完成这些WMIC工具并天生一份陈诉,怎样样呢?我曾经有了。把工具都丢到一个批处置文件中,然后设置一个主机名参数,你乃至可以在全网中运用它——取得其他盘算机的得当权限,方便停止近程评价。

  这个剧本可以让你更清晰的理解HTML款式的输入,此中包罗了你从电脑中获取的信息:

  wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:triage-%1.html

  wmic /node:%1 startup list full /format:htable >> c:triage-%1.html

  wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:triage-%1.html

  wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:triage-%1.html

  wmic /node:%1 job list full /format:htable >> c:triage-%1.html

分享:
下载

相干文章

宣布关于《没有内部东西,怎样疾速发明Windows中毒了》的批评

福州电脑网(福州iThome)专业电脑/盘算机学习网站.提供电脑维修知识,包罗盘算机软件/硬件维修知识,路由器/交流机/网络设置,电脑蓝屏,网络/it知识学习等等钱汇网址学习材料.

免责声明:本站一切信息内容仅供参考,若有得罪您的权柄请联络我们删除!请各人留意:本站删帖完全收费。邮箱:

Copyright (C) FziThome.com, All Rights Reserved.

版权一切 闽ICP备14002611号-3