1.查看进程模块,观察dll可以看谁注入了他。
2.查看进程的线程,列出线程,如果是红色线程,说明不在任何模块内。
3.驱动模块会把所有当前驱动列出,比较重要的是加载顺序,如果木马驱动也会在这显示。
4.内核部分比较重要的是系统回调
其中LoadImage很多木马会放止安全软件,会在LoadImage检测,在这里进行patch。cmpCallback注册表回调。如果注册表禁止操作,很可能就是在这里。还有shutdown,很多木马在这做操作。
还有过滤驱动,DPC定时器(安云就在这有个红色),还有文件系统可以看到MiniFilter
还有FSD,有些沙箱会在这操作,Disk磁盘钩子。Patmgr(有些木马会用到,用来挂磁盘的),Atapi和Acpi磁盘微端口,有些木马会用到,MBRboot会挂钩IRP_MJ_INTERNAL_DEVICE_CONTROL
Object钩子注意,进程钩子可以检测3环。
启动信息是启动参数。
系统杂项里面有个检测MBR
配置强制启动,系统强制启动是R3得不到关机消息,可以防止一些木马关机回写,更为暴力就是对付R0级的通过IO端口,shutdown也看不到。