![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
应急响应
Iam0x17
github:
https://github.com/Iam0x17
展开
-
一条Almanahe感染型查杀日志扩展出的知识点
工作中时刻要解决用户问题,用户的问题如下这个病毒一个小时定时复制到C盘,安全软件可以查杀,但是生成这个文件的程序找不到遇到这种问题,凭借用户所说的肯定是无法判断到底是怎么回事,首先让用户上传日志然后用户发来一条日志病毒防护,文件实时监控,发现病毒Virus/Almanahe.a!src, 已处理操作进程:System病毒路径:C:\setup.exe病毒名称:Virus/Almanahe.a!src病毒ID:A79AB283EE7EA771操作结果:已处理这一条日志,其实包含的点已原创 2020-11-12 12:26:20 · 2901 阅读 · 6 评论 -
一个Linux挖矿的简单处理
由于平时很少接触linux的病毒现场,特意找到了一个之前处理过的现场进行复现,算是对linux命令的掌握以及对linux病毒的了解执行挖矿病毒使用top命令,站cpu占用率可以看到PID为28842的进程占用已经为97.3%然后使用netstat -antp看网络查看网络连接经过搜索,这两个ip都为矿池ip,到这就可以判断这是一个挖矿病毒了cd /proc/28842进入进程号目录...原创 2020-04-06 17:02:53 · 1659 阅读 · 0 评论 -
MBR勒索之动态调试获取解锁密码
在之前已经说过面对MBR勒索如何手动修复MBR,这次我们通过动态调试的方法来获取密码进行解密其实有时候我们拷贝出的第一个扇区使用ida以16位打开就直接可以看到密码,但有时并不是很幸运,像下面的并不能直接看到密码,ida静态分析16位程序又很吃力,所以使用ida远程调试MBR是最快捷得到密码的方法首先配置一下远程调试MBR的环境将要调试的虚拟机配置文件加入以下内容bios.bootDe...原创 2020-04-05 14:10:03 · 499 阅读 · 0 评论 -
MBR勒索之手动修复引导
MBR勒索是把一段shellcode写入到磁盘引导里面,使得开机时不能正常引导进入系统,平常遇见的MBR勒索病毒都是易语言大手子写的模块,供其他人使用,只要是勒索就肯定会有恢复的方式,所以今天就写一篇手动修复MBR的文章首先运行一个MBR勒索病毒,直接写MBR重启电脑重新进入系统时界面上就显示了一个QQ号,很简洁键盘输入会显示,这是一个典型的MBR勒索我们不知道密码不能进入系统,想要手...原创 2020-03-01 14:52:10 · 1353 阅读 · 1 评论 -
恶意驱动锁首手动处理的两种方法
文章目录主页被锁主页被锁原因定位恶意驱动清除恶意驱动方法一清除恶意驱动方法二主页被锁我们在日常使用电脑的时候,总会遇见各种恶心人的广告弹窗锁首之类的问题,就比如下面的情况打开谷歌浏览器,立即看到这么醒目的开服表,心里肯定一万头草泥马飘过。。。主页被锁原因象征性的打开谷歌浏览器设置,发现主页设置还是百度,那问题可能就出在其他地方了。像面对这种情况,传奇主页,基本想都不用想,肯定是驱动...原创 2020-02-19 23:13:16 · 1639 阅读 · 1 评论