1 文件分析
1.1 临时目录排查
黑客往往可能将病毒放在临时目录(tmp/temp),或者将病毒相关文件释放到临时目录,因此需要检查临时目录是否存在异常文件。
假设系统盘在C盘,则通常情况下的临时目录如下:
C:\Users\[用户名]\Local Settings\Temp
C:\Documents and Settings\[用户名]\Local Settings\Temp
C:\Users\[用户名]\桌面
C:\Documents and Settings\[用户名]\桌面
C:\Users\[用户名]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[用户名]\Local Settings\Temporary Internet Files
注:[用户名] 根据实际环境用户得出,常见用户名是Administrator,建议所有用户都检查一下。
1.2 浏览器相关文件
黑客可能通过浏览器下载恶意文件,或者盗取用户信息,因此需要检查下浏览器的历史访问记录、文件下载记录、cookie信息,对应相关文件目录如下:
C:\Users\[用户名]\Cookies
C:\Documents and Settings\[用户名]\Cookies
C:\Users\[用户名]\Local Settings\History
C:\Documents and Settings\[用户名]\Local Settings\History
C:\Users\[用户名]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[用户名]\Local Settings\Temporary Internet Files
1.3 最近打开文件
检查下最近打开了哪些文件,可疑文件有可能就在最近打开的文件中,打开以下这些目录即可看到:
C:\Users\[用户名]\Recent
C:\Documents and Settings\[用户名]\Recent
1.4 文件修改时间
可以根据文件夹内文件列表时间进行排序,查找可疑文件。一般情况下,修改时间越近的文件越可疑。当然,黑客也有可能修改”修改日期“。