没有外部工具,如何快速发现Windows中毒了

从事应急响应工作几年之后,我认为总结一份快速确定计算机是否被感染木马和病毒的“方法论”是十分有用的。这显然不是那么简单的,可我却发现感染几乎存在于所有不复杂的攻击中,如果你执行了以下检测,便可发现存在感染并快速杀掉它。

所有这些事情都可以由一个建立于Windows命令行功能的管理员命令提示符完成。

1、WMIC 启动项(WMIC Startup Items)

Windows已经有一个非常强大的工具——WMIC,在以下几种方式中较容易为你的调查建立启动项。只需打开一个命令提示符,然后输入【wmic startup list full】。这是一个真实的例子,猜一下哪个项目不属于其中,会是本地\临时文件夹吗?是的。

如果你知道应该在列表中的东西以及一般正常运行的位置,你就能在这里暂停,通常这都非常简单。找到程序,然后在malwr.com或者VirusTotal上查找它的散列,看看它有没有感染了其他什么,然后删除。

2、DNS 缓存(DNS Cache)

打开命令提示符,并输入【ipconfig/displaydns】。看看这些待反测的区域,有没有任何的异常现场?在VirusTotal或者其他地方寻找他们解析的域名及IP,看是否有与之相连的样本。如果有,那么你肯定被感染了。这里有一个现成的例子:

3、WMIC 进程列表(WMIC Process List)

这是WMIC另一个受欢迎的项目,输入【wmic process list full|more】,或者更紧凑但是更长的输出【wmic process get description,processed,parentprocessid,commanline/format:csv.】。寻找在奇怪地方运行的东西或者恶意、随机、名称怪怪的程序。

4、WMIC 服务列表(WMIC Service List)

如果你不清楚自己在寻找什么,那这个用起来可能比较困难。但是检测方便并且容易通过路径或者exe名称发现恶意软件。格式与其他的相似,或者你也可以得到更具体“get”版本。

输入【wmic service list full| more】或者【wmic service get name,processid,startmode,state,status,pathname /format:csv】。这里有个小例子展示了只有服务名称和路径的情况。

5、WMIC 工作列表(WMIC Job List)

这是个看起来最不可能发现任何东西的项目,因为绝大多数恶意软件都不用jobs,但是在例如MPlug的一些版本中,是很容易检测出的。输入【wmic job list full】,你能够获得一个【没有可用实例】的回执,这就意味着没有已安排的项目在执行。

6、Netstat

莫忘记基础,如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的,输出可能需要搜索来查看,即使这样可以还是寻找奇异的外部站点端口号码,如25、8080、6667等等。

Netstat控制如下:

-a 显示所有连接和监听端口 -b 显示参与创建每个连接或者监听端口的可执行文件 -n 以数字形式显示地址和端口号码 -o 显示拥有的每个与链接相关的进程ID

7、批处理文件版本

用一种简单可重复的方式完成这些WMIC东西并生成一份报告,怎么样呢?我已经有了。把东西都丢到一个批处理文件中,然后设置一个主机名参数,你甚至能够在全网中使用它——获得其他计算机的适当权限,方便进行远程评估。

这个脚本可以让你更清楚的了解HTML格式的输出,其中包括了你从电脑中获取的信息:

wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html wmic /node:%1 job list full /format:htable >> c:\triage-%1.html

*参考来源:909research,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-07-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏恰童鞋骚年

操作系统核心原理-3.进程原理(上):进程概要

进程管理、内存管理和文件管理是操作系统的三大核心功能,那么什么是进程呢?顾名思义,进程就是进展中的程序,或者说进程是执行中的程序。当一个程序被加载到内存之后就变...

1972
来自专栏Youngxj

QQ显示IP地址方法

3113
来自专栏黑白安全

反射的跨站点脚本(XSS)攻击

跨站点脚本攻击(XSS)是一种Web应用程序漏洞,允许攻击者将代码(通常为HTML或JavaScript)注入到外部网站的内容中。当受害者查看网站上的受感染页面...

1042
来自专栏行者悟空

一次nginx引起的线上502故障

今天突然接到某PM的求救,说微信支付到应用的请求一直返回502,于是初步了解完情况后,就进入了问题排查阶段。

7832
来自专栏域名资讯

域名被墙了的解决办法有哪些?

  如果域名ping的通却打不开网站(排除服务器宕机),用代理可以打开一般说明域名被封了。假如域名下的网站非法信息多,敏感,又不整改,会直接被GFW墙掉,结果就...

2.9K5
来自专栏FreeBuf

OpenSSH曝高危漏洞,Linux主机面临暴力破解威胁

OpenSSH软件被爆出一个简单却高危的漏洞,攻击者可以在短时间内进行数千次的登录尝试。 ? OpenSSH是最流行的Linux系统进行远程控制的软件。一般来说...

2957
来自专栏BeJavaGod

什么是分布式系统中的幂等性

最近很多人都在谈论幂等性,好吧,这回我也来聊聊这个话题,光看着俩字,一开始的确有点一头雾水,语文不好嘛,词太专业嘛,对吧 现如今我们的系统大多拆分为分布式SOA...

3643
来自专栏FreeBuf

利用xmlrpc.php对WordPress进行暴力破解攻击

近几天wordpress社区的小伙伴们反映遭到了利用xmlrpc.php进行暴力破解的攻击。利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wor...

2996
来自专栏Android 开发者

Android Jetpack: 分页库 (Paging Library) | 中文教学视频

Android Jetpack 是一系列助力您更容易打造优秀 Android 应用的工具和组件。

1644
来自专栏安恒信息

Hacking Team 病毒测试环境分析

0x00 前言 安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test...

3855

扫码关注云+社区

领取腾讯云代金券