前言
计算机病毒和木马令人闻风丧胆,计算机病毒会自我复制并传播到其他计算机上,因此它可以通过网络或媒介传播,例如通过电子邮件附件、可移动存储设备或下载文件。木马(Trojan)是一种欺骗性程序,它通常伪装成有用或有吸引力的软件或文件。一旦被启动,木马就开始执行恶意操作,例如窃取用户信息、监视用户活动或打开后门以便黑客入侵。(进行排查之后,我就发现了没有删除干净的软件,可想而知一些流氓软件和一些病毒木马大同小异)
windows分析排查:
文件分析-开机启动文件:一般情况下,各种木马、病毒等恶意程序都会在计算机开机启动过程中自启动
三种方式查看开机启动项:(实验环境为虚拟机windows server 2016)
1.利用操作系统中的启动菜单
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu(开始菜单)\Programs(程序)\Startup(启动)
2.利用系统配置msconfig
win+R输入msconfig,进入系统配置
然后查看启动里是否有未知的程序开机自启,我们可以对其进行逆向检测或者流量分析
3.利用注册表regedit
HKEY_CURRENT_USERS/software/Microsoft/Windows/CurentVersion/Run
win+R输入regedit
回车进入注册表:
根据路径找到注册表,查看里面是否有未知程序(本人就是在这里找的了一个流氓软件的程序,我真的会无语)