1.文件分析——开机启动项
一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动
在windows系统中可以通过以下三种方式查看开机启动项:
(1)任务管理器
(2)利用msconfig
(3)利用注册表 regedit
2.文件分析——tmp临时异常文件
tmp(临时文件),使用%temp%打开文件夹
查看 temp文件夹发现pe文件(exe\dll\sys),或者是否具有特别大的tmp文件
将文件上传至威胁分析平台查看是否有恶意行为
3.文件分析——浏览器信息分析
在被黑客拿下的服务器后,很有可能会使用浏览器进行网站的访问,因此我们可以查看浏览器记录,探索浏览器是否被使用,下载恶意代码 查看浏览器记录:brosinghiatoryview
下载地址:https://www.nirsoft.net/utils/browsing_history_view.html
可以查看文件名称、下载地址、网页地址、开始下载时间、结束时间、保存位置等等 浏览器文件下载记录查看:broserdownloadview 下载地址:https://www.nirsoft.net/utils/web_browser_downloads_view.html浏览器cookie信息查看:chromecookiesview、iecv、edgecookiesview
下载:只接搜,找官网下载
4.文件分析-文件时间属性
在windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认情况下禁用)
在默认情况下,计算机是以修改时间作为展示
右击文件,属性,查看文件创建时间、修改时间、访问时间
如果修改时间要早于创建时间那么这个文件存在很大可疑,使用中国菜刀等工具修改的,修改时间通过文件属性可以查到创建时间,修改时间,访问时间
5.文件分析——最近打开文件分析
windows系统中默认记录系统中最近打开使用的文件信息
输入%userprofile%Recent
find /?
find 参数 “查找内容” 文件路径
6.进程分析-可疑进程发现与关闭
计算机与外部网络通信是建立在tcp或udp协议上的,并且每一次通信都是具有不同的端口(0~65535)。如果计算机被木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态找到对应的进程ID,然后关闭进程ID就可以关闭连接状态
netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
tasklist /svc | find “PID” 查看具体PID进程对应的程序
taskkill /PID pid值
7.系统信息——windows计划任务
在计算机中可以通过设定计算任务,在固定时间执行固定操作,一般情况下,恶意代码也有可能在固定的时间设置执行
使用schtasks命令可以查看
或在管理器中查看计划任务管理
8系统信息——隐藏账号发现与删除
隐藏账户,是指“黑客”入侵之后为了能持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户
最为简单的隐藏账户建立:
net user test$ test /add
net localgroup adminstrator test$ /add 其中
符号可以导致系统管理员在使用
n
e
t
u
s
e
r
时无法看到
t
e
s
t
符号可以导致系统管理员在使用net user时无法看到test
符号可以导致系统管理员在使用netuser时无法看到test用户
9.恶意进程-发现与关闭
恶意代码在windows系统中运行过程中,将以进程的方式进行展示,其中恶意进程进行着各种恶意行为,对于可执行程序,可以直接使用杀毒软件进行查杀,但是并非所有的恶意进程都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析,对恶意相关的服务进行关闭
在选项中选择virutotal.com
选择使用virustotal.com
发现红色标记的进程,进行关闭
10.系统信息-补丁查看与更新
windows系统支持补丁以修补漏洞,可以使用systemInfo查看系统信息,并展示对应的补丁信息编号,也可以在卸载软件中查看系统补丁和第三方软件补丁
在win10中,使用快捷键 win+i 然后选择windows更新