文件分析
1.1临时目录排查
黑客往往可能将病毒放在临时目录(tmp/temp),或者将病毒相关文件释放到临时目录,因此需要检查临时目录是否存在异常文件。
假设系统盘在C盘,则通常情况下的临时目录如下:
- C:\Users[用户名]\Local Settings\Temp
- C:\Documents and Settings[用户名]\Local Settings\Temp
- C:\Users[用户名]\桌面
- C:\Documents and Settings[用户名]\桌面
- C:\Users[用户名]\Local Settings\Temporary Internet Files
- C:\Documents and Settings[用户名]\Local Settings\Temporary Internet Files
常见用户名是Administrator,建议所有用户都检查一下。
1.2 浏览器相关文件
黑客可能通过浏览器下载恶意文件,或者盗取用户信息,因此需要检查下浏览器的历史访问记录、文件下载记录、cookie信息,对应相关文件目录如下:
- C:\Users[用户名]\Cookies
- C:\Documents and Settings[用户名]\Cookies
- C:\Users[用户名]\Local Settings\History
- C:\Documents and Settings[用户名]\Local Settings\History
- C:\Users[用户名]\Local Settings\Temporary Internet Files
- C:\Documents and Settings[用户名]\Local Settings\Temporary Internet Files
1.3 最近打开文件
检查下最近打开了哪些文件,可疑文件有可能就在最近打开的文件中,打开以下这些目录即可看到:
C:\Users[用户名]\Recent
C:\Documents and Settings[用户名]\Recent
1.4 文件修改时间
可以根据文件夹内文件列表时间进行排序,查找可疑文件。一般情况下,修改时间越近的文件越可疑。当然,黑客也有可能修改”修改日期“。
注:点击”修改日期“,使之按最近修改时间排序,优先检查下”修改日期“最近的文件。
1.5 .System32目录与hosts文件
System32也是常见的病毒释放目录,因此也要检查下该目录。hosts文件是系统配置文件,用于本地DNS查询的域名设置,可以强制将某个域名对应到某个IP上,因此需要检查hosts文件有没有被黑客恶意篡改。
- C:\Windows\System32
- C:\Windows\System32\drivers\hosts