文件分析-开机启动文件
1、一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动
在Windows系统中可以通过以下三种方式查看开机启动项
(1)利用操作系统中的启动菜单
C:\User\Administrator\AppDate\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
(2)利用系统配置文件msconfig
(3)利用注册表
HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run
二、文件分析-temp临时异常文件
temp(临时文件夹),位于C:\Documents and Settings\Administrator\Local Settings\内。很多临时文件放在这里,用来收藏夹,浏览网页的临时文件,编辑文件等
使用运行 输入 %temp%可以直接打开temp文件夹
查看temp文件夹,发现PE文件(exe,dll,sys),或者是否具有特别大的tmp文件
将文件上传到在线检测网站进行检测
三、文件分析-浏览器文件分析
在被黑客拿下的服务器,很有可能会使用浏览器进行网站的访问。因此我们可以查看浏览器记录查看,探索浏览器是否被使用下载恶意代码。
(1)浏览器痕迹查看
(2)浏览器下载文件查看
(3)浏览器Cookie信息查看
四、文件分析-文件时间属性分析
1、在Window系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认情况下禁用)。
默认情况下,计算机是以修改时间作为展示
![image-20220718212423796](C:\Users\ST\AppData\Roaming\Typora\typora-user-images\image-20220718212423796.png)
如果修改时间要早于创建时间那么这个文件存在很大可疑
使用中国菜刀等工具修改的,修改时间,通过文件属性可以查看到创建时间、修改时间、访问时间。
五、文件分析-最近打开文件分析
window系统中默认记录系统中最近打开使用的文件信息
可以在目录C:\Documents and Settings\Administrator\Recent下查看,也可以使用win+r 打开运行框,输入%UserProfile%\Recent查看。然后利用window中的筛选条件查看具体时间范围的文件
六、进程分析-可疑进程发现与关闭
1、计算机与外部网络通信是建立在TCP或UDP协议上的,并且每一次通信都是具有不同的端口(0-65535)。如果计算机被木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态,找到对应的进程ID,然后关闭进程ID,然后关闭进程ID就可以关闭连接状态。
1、netstat -ano | find "ESTABLISHED" 查看网络建立连接状态
2、tasklist /svc | find "PID" 查看具体PID进程对应的程序
3、tasklist /PID pid值 /T 关闭进程
七、系统信息-Windows计划任务
在计算机中可以通过设定计划任务,在固定时间执行固定操作。一般情况下,恶意代码也有可能在固定的时间设置执行。
使用at命令可以对计划任务进行管理,直接输入at可以查看当前计算机中保存的计划任务
注:window10系统提示at命令已经不可用,建议使用schtasks.exe命令查看
当然也可以在可视化的计划任务管理中进行管理
八、系统信息-隐藏账户发现与删除
隐藏账户,是指“黑客”入侵之后为了能够持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户。
最为简单的隐藏账户建立:net user test$ test /add && net localgroup administrator test$ /add 其中$符号可以导致系统管理员在使用net user时,无法查看到test$用户。