windows手工杀毒-寻找可疑进程之进程启动文件

最新推荐文章于 2024-10-08 13:36:13 发布

YinCircle

最新推荐文章于 2024-10-08 13:36:13 发布

阅读量1.8k

点赞数 39

分类专栏： windows手工杀毒文章标签：安全系统安全网络安全 windows

本文链接：https://blog.csdn.net/yindeyue/article/details/141910284

版权

windows手工杀毒专栏收录该内容

11 篇文章 0 订阅

订阅专栏

上篇回顾：windows手工杀毒-寻找可疑进程之进程启动文件路径-CSDN博客
上篇我们介绍了如何通过进程启动文件的启动路径寻找可疑进程，总结概括下就是，在文件原本不应该被放置的路径启动的进程都可能是可疑进程，至于一个文件应该放在哪个文件夹下，用户通常的使用习惯就是正确的。今天我们将介绍一种新的发现可疑进程的方法，即通过进程的启动文件判断是否是可疑进程。

术语介绍：

摘要算法：

简单理解就是根据文件的内容进行各种数学运算，然后得出一串能够代表文件内容的数字。这串数字就是数字指纹。通常来说文件内容和数字指纹是一一对应的，无论是文件内容有改动还是数字指纹有改动，他俩都对应不上。计算文件的摘要有很多种计算方式，常见的有MD5,CRC32,Sha256

加密算法：

简单理解就是将文件的内容进行某种数学计算后再发给用户，用户收到文件后再经过某种数学计算算出文件的原始内容，使用的计算方法。加密算法分为两类，对称加密和非对称加密算法。
对称加密算法：加密的密钥和解密的密钥是相同的。举例：原始文件内容是123，我是用的加密密钥是1，加密后的文件内容可能就是234，即每位加1。使用文件前利用解密密钥，也是1，解密后文件内容恢复到123。
非对称加密算法：加密的密钥和解密的密钥不同，且只有对应的解密密钥，才能解密，被加密文件加密的文件。非对称加密密钥分为公钥，即网上可以公开下载到的密钥，和私钥，即不公开的密钥

数字证书：

一种数字身份的认证方案，数字证书中包含使用数字证书申请人的身份信息，比如公司名称，邮箱地址等等。也包含一串公钥。用户可以使用这串公钥去解密对应私钥加密的数据。

文件的数字签名：

数字签名简单理解就是使用非对称加密算法对文件的所有人进行验证。数字签名通常的签名过程如下：

计算文件的摘要信息
使用私钥对文件的数字指纹进行加密
将文件的原始内容+加密后的数字指纹+私钥对应的证书组合成一个新的文件

文件的签名校验过程如下：

获取证书中的公钥信息
使用公钥对加密后的数字指纹进行解密
计算原始文件内容的数字指纹
对比自己计算的数字指纹和公钥解密后的数字指纹，相同即校验通过

数字证书的证书链：

每个人都可以通过指定的算法生成自己的证书，这种证书就是自签名证书。自签名证书的内容是可以任意指定的，也就是说每个证书都可以说自己是百度公司。这个时候如何区分那，就需要找一个大家都认可的组织做背书，用他的证书对自签名证书进行私钥加密。用户可以通过网络下载公认组织的公钥，对被加密的证书进行解密，如果能解密出合法的证书，那么这个自签名的证书就不是冒充的证书

windows下获取文件数字指纹方法：

windows+r，启动命令行程序
输入 certutil -hashfile 文件路径 MD5

图中e1fa08ff0442cd5078edf69c208ccfac就是C:\appverifUI.dll文件的数字指纹

获取进程启动文件：

通过任务管理器或其他类似的工具获取进程启动文件，可以参考上篇获取进程启动文件的方法，这里不再赘述

可疑进程文件判断方法：

1. 文件数字指纹信息搜索

杀毒软件判断一个文件是否是病毒的一种方法是，计算一个文件的数字指纹值，然后与病毒库中记录的值进行比较，如果相同那么就认为这个文件是病毒文件。这个方法可以让杀毒软件对已经发现的病毒具备查杀能力。用户可以使用国外的VirusTotal - Home网站检查文件是否是病毒文件

图中展示的是C:\appverifUI.dll文件的检查结果，0/52代表文件被52种安全软件检测，0个安全软件认为他是病毒文件。用户还可以使用国内安全厂商的服务搜索，比如奇安信威胁情报中心 (qianxin.com)
还可以直接使用搜索引擎搜索数字指纹，如果是病毒会看到各种报告

2. 查看文件是否有数字签名

我们可以右键查看文件的属性，查看是否有数字签名属性

图中可以查看到xmind的数字签名。能看到这个文件有两张数字证书

3. 查看文件的数字证书是否被篡改

This digital signatrue is ok.代表这个证书是完整的没有被篡改的

4. 查看文件数字证书是否已过期

数字证书在申请的时候需要指定有效期，如果文件使用的数字证书已过期，上面的截图可以看到提示

5. 查看文件证书根证书是否被信任

为了防止数字证书被冒用，每个数字证书都需要找个父证书做背书，最终做背书的证书就是根证书，根证书是在安装电脑的时候被同时安装到系统中的。如果被签名的文件的证书链上有不被信任的数字证书，上面的截图也可以看到提示

6. 没有数字签名的文件

通常在文件的下载页面会显示下载文件的MD5等文件摘要信息。用户可以在下载文件后使用前文提到的工具计算文件的MD5信息，与官网提供的信息做对比校验

7. 上传文件到安全沙箱中

安全沙箱就是将文件执行一遍，然后看下文件都做了啥，比如是不是创建或者修改了什么文件，是不是访问了什么网站等等。结合文件的行为判断是否是病毒文件。常见的安全沙箱有：

奇安信情报沙箱 (qianxin.com)

微步在线云沙箱 (threatbook.com)

腾讯哈勃分析系统 (qq.com)

总结：

本文介绍了如何通过进程的启动文件判断是否是恶意进程。主要两类方法，第一种就是文件是否被篡改，可以通过文件的数字签名，数字指纹去判断。可以规避使用了伪造的软件。另一种就是分析文件本身的内容或行为，这种就需要专业的病毒分析知识，这个以后再介绍，现在可以简单的使用现有的沙箱去判断。注意有些病毒或恶意程序是携带完整的数字签名的，大家小心警惕。