记录一次恶意软件排查

最新推荐文章于 2024-06-10 18:00:00 发布
最新推荐文章于 2024-06-10 18:00:00 发布
阅读量799 收藏 3
点赞数
分类专栏: web安全 文章标签: 恶意软件排查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1124794084/article/details/79290675
版权

一、前言

前些天有监测出服务器里有一台虚拟机正在扫描445端口。很多蠕虫病毒都是通过445端口传播的,2017年的永恒之蓝也是通过445传播的,所以感觉事情会比较严重。

二、前期处理

因为那台虚拟机上面没有什么用来监测扫描的软件,初步怀疑可能是虚拟机被人黑了。此时用远程桌面连接上去千万别把磁盘挂载上去,免得有些病毒会直接传到本机去。我用的是vmware连接上去。

第一步:断网

在网络设置中把网卡禁用掉。防止继续进行攻击

第二步:杀毒软件扫描

360扫描看看能不能查看出来,是什么恶意软件,然而并没有什么结果。


三、分析排查

第一步:查看端口占用情况

在cmd中执行 netstat -ano|findstr  445

如果能找到,那么就可以知道进程号

第二步:查看进程名

在任务管理器中根据已知的进程号去查询对应的进程。

第三步:确定恶意软件

找到进程后,右键打开文件所在的位置,就可以找到恶意软件所在的位置了。

第四步:清理恶意软件

卸载删除搞起来。360注册表再清除一波

上面是常规的方法,but并没有奏效。

所以这个时候想到通过wireshark去抓包,然后分析出那个软件。数据包中是能抓到包含445的数据包,但是不好分析出来,源端口一直在变化,而用cmd查询端口状态又是实时的。

最终在资深同事的介绍下找到了一款微软的抓包工具microsoft network monitor,能分析出哪个进程发出的数据包。

因为恶意软件是被人设置定时的,所以我把抓包软件打开一直监听。最后通过检索端口tcp.prt==445找出恶意软件。

因为已经把那台虚拟机删除了,所以贴个nmap扫描3389的时测试的图吧。



黑面狐
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析
代码讲故事
12-17 1010
Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析。
查找恶意进程和文件
supertor的博客
11-22 2882
1、检查CPU内存 指令:top 按大写的“P”键将内容按CPU占用率排序,查看占用率高的进程和PID 2、根据PID找到进程文件位置 (1)ps -ef |grep PID号 ps -aux | grep PID号 (2)利用/proc/PID号 ll /proc/PID号 有一行内容为“exe -> /xxx/xxxx/xxxxx”即为该进程目录 ls -l /proc/PID号/exe...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 6026
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
5个好用的网络故障排除工具分享,看完篇就
最新发布
Karka_的博客
06-10 1096
要知道,网络排障作为每个网工的必备基础,如果能好用的网络故障排除工具高效提升你的工作效率,对于领导来说,绝对是加分项。善用工具也是一种很强大的能力。通过高效的工具,你能够分析究竟网络在这期间究竟发生了什么事情,而不会再一头雾水。今天就为大家介绍的网络排障工具。
通过CMD命令查询端口占用追查追踪EXE/进程/反电脑木马病毒的方法
玖河长久
06-27 2480
有时候老是担心自己电脑是否中了木马病毒,但是因为后台进程程序又太多而无从查起。 有时候我们在开发某些程序时经常遇到端口被占用的情况。 有时候想看看端口是否是病毒可疑程序在运行。 那就往下看吧,可能会对你起到帮助! PS:本教程仅适用于Windows系统 ①win+r 调出运行窗口 ②输入:cmd+回车键 ③查询端口占用情况(举个栗子,我们要查询8989端口是被哪个进程所占用) CMD窗口命令 netstat -ano 我们看到8989这个端口是被占用,并且PID号是:...
Windows 通过端口占用查找应用程序
xiong_min的博客
02-09 4132
Windows 通过端口占用查找应用程序
Enigma Protector脱壳
樱*夜精灵
05-21 4356
标 题: 【原创】Enigma Protector脱壳 作 者: smokewind 时 间: 2011-09-27,00:19:36 链 接: http://bbs.pediy.com/showthread.php?t=140629 【文章标题】: Enigma Protector脱壳 【文章作者】: Smoke 【编写语言】: delphi7 【操作平台】: window
删除最后一次正确配置
09-13
为了减少需要依赖“删除最后一次正确配置”的情况,建议定期进行系统备份,保持软件和驱动程序的更新,并安装可靠的安全软件来防止恶意软件攻击。 总之,“删除最后一次正确配置”是Windows提供的一种实用故障恢复...
很好用的恶意软件清理助手v2.89版
10-05
【标题】"很好用的恶意软件清理助手v2.89版" 提供了一款专门针对恶意软件的清除工具,其版本号为2.89,暗示了这是一款经过多次迭代,具有较高成熟度和稳定性的软件。恶意软件清理助手通常具备深度扫描、实时保护、...
最新等保2.0-系统运维管理恶意代码库升级记录.docx
07-12
3. **版本更新内容**:每一次恶意代码库的更新都会伴随一个版本号,版本更新内容包括新增的恶意代码特征、修复的漏洞、提升的检测效率等。运维人员需要密切关注这些更新,以确保系统的防护库始终处于最新状态。 4. ...
com打印、开钱箱软件
03-30
8. **日志记录**:为了便于故障排查和审计,软件应记录操作日志,记录一次打印和开箱的动作。 9. **系统集成**:如果作为插件,软件需要考虑如何与主流的POS系统进行集成,提供API接口或者遵循特定的集成标准。 ...
Windows平台恶意软件智能检测综述.docx
06-10
Windows平台恶意软件智能检测综述.docx
百度竞价推广防恶意点击软件拓宽卫士
08-03
1. **IP分析**:拓宽卫士会记录和分析每次点击的IP地址,对于频繁、异常的IP行为进行标记,如短时间内多次点击同一广告的IP,可能被识别为恶意。 2. **用户行为分析**:通过监测用户的浏览路径、停留时间、点击频率...
利用445 端口渗透
shatianyzg的博客
09-19 1080
靶机win7 445开放 192…168.19.131。渗透kali 192.168.19.129。任务:如何知道win7 ip 地址。提权,将admin加入到管理员账户。135,138,139 蠕虫病毒。利用ms17_010漏洞渗透。kali远程登录到win7。2.破解win7 的账号。
【干货】Windows内存获取和分析---查找恶意进程,端口
12-17 697
来源:Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Memory Acquisition and Analysis 调查人员检查物理内存内容,以检测恶意进程、威胁和内存驻留恶意软件,以恢复密码和获取密钥。 伏笔:rootkit,root代表最高权限,kit表示软件。合起来,最高权限的软件。如果存在恶...
应急响应处置现场流程 - 进程排查05
战神/calmness的博客
03-22 1278
应急响应处置现场流程 - 进程排查 进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程对恶意进程进行守护。 ...
[系统安全] 三十二.恶意代码检测(2)常用技术详解及总结
杨秀璋的专栏
07-16 9413
前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识,在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。希望这篇文章对您有所帮助,如果文章中存在错误、理解不到位或侵权的地方,还请告知作者与海涵。且看且珍惜,加油~
异常网络连接-可疑WebShell通信行为提示的解决办法
weixin_34067049的博客
10-27 2269
2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑WebShell通信行为,还会伴有,网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的安全提示,但是大部分都是单独服务器E...
恶意软件分析基础-PE文件简单分析记录
LoopherBear的博客
05-11 1032
PE文件简单分析记录 通常在分析一些样本时会遇到如下程序 Handle hImageBase=LoadLibraryA("Kernel32.dll"); void* aAddr =hImageBase+0x3c; void* bAddr=aAddr++0x78; 的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。 DosHeader 这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头 以MZ标志开头,表示这个一个PE文件。如果要读取Ri
一次spark sql问题排查的经历
03-16
我记得有一次在使用Spark SQL时,遇到了一个查询结果不正确的问题。我首先检查了数据源和查询语句,发现没有问题。然后我开始检查Spark SQL的执行计划,发现其中一个阶段的任务数比其他阶段的任务数要少。经过进一步...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值