内容来源:破壳学员-咸湿小和尚
0x00
前言:我使用了某工具生成了一个免杀的木马病毒,可进行多种行为,才开始了此次实验,最终这篇文章诞生了...(差点难产TAT)
下面让我勇敢的回顾一下此次实验的过程
0x01
打开主机,发现主机一直再跳闪出cmd命令行,亦或者卡成PPT,明明内存没有霸满,但是又偏偏动一下卡一下,下面就是疯狂跳闪命令行的页面:
0x02
因为启动命令行就可以执行很多如复制,ddos等威胁,那么首要就是禁止执行cmd指令,那边是最基本的自救能力:
- 输入win+r打开运行窗口
- 输入“gpedit.msc”
- “用户配置”->”管理面板”->”系统”
- 点开“阻止访问命令提示符”
- 启用该功能
那么就说明病毒的部分行为被控制住了,但是,偏偏还是弹窗,不管不会闪到头晕了
接下来就是寻找根源文件。
0x03
根据命令行的打开,那就定位到File_open
使用火绒剑打开,过滤行为:
找出cmd:
基本上由行为次数可以统计出,大概跳转的应该就是conhost.exe
0x04
然后进入目录里面进行删除
定位:
发现文件权限大到无法删除:
然后进行查看权限:
那么接下来给文件提高权限即可:
然后确定后删除(这里也可以用360强力删除并且防止再生与木马程序各删除一次)
0x05
清除后舒服多了,瞬间没有了弹窗
但是看下图发现,远控还是连接状态
所以在判断木马存在的时候,还是需要查看NET_connect
接着通过远控,确认文件:
二话不说,删除!
我以为我马上就是
然而,并没有什么卵用,说明有程序正在不断生成它...
0x06
这时候必须寻找同时存在的异常进程文件:
也许有经验的大佬都可以一眼看到这个异常文件,那么像我这种小白是通过tcp去寻找其与病毒连接的IP一样的特性去查看每一个进程文件属性。
0x07
查看文件特性
可见,这个文件系着system32/cmd.exe与注册自身,那么我们查看其行为:
OK,注册表弄它
0x08
可是在堆栈中发现:
其实system32/cmd.exe才是控制了流程
为了防止误删,我进行了查看
看!这个cmd是隐藏起来的王者,为了欺骗用户,制作了图标一样而程序不一样的exe文件
二话不说!干它,删除掉多余的程序,重启后,远控就GG了
0x09
接下来修复一下cmd.exe即可,window10的话可以重启自动修复,而window7的,用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。也可以从网上下载
学到姿势了记得点个赞哟~(>ω・* )ノ
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
