首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >fonts文件夹挖矿病毒识别办法

fonts文件夹挖矿病毒识别办法

原创
作者头像
Windows技术交流
修改2020-04-13 18:07:42
1.4K0
修改2020-04-13 18:07:42
举报
文章被收录于专栏:Windows技术交流Windows技术交流

Windows中病毒木马的时候,fonts目录是病毒木马最喜欢的藏匿点之一,但是你打开fonts文件后找不到病毒,这是因为fonts视图不是普通文件夹视图

如何变成普通文件夹视图?

文件夹特殊样式是靠文件夹里的desktop.ini控制的,只要删了desktop.ini即可

cmd命令行执行del c:\windows\fonts\desktop.ini再打开文件夹按类型排序查看.exe就能看到病毒木马文件了

获取字体目录里异常进程的命令如下(结果集里并不都是病毒,命令的作用是排除掉字体文件把剩下的文件列出来)

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified

第2条命令比第1条多了CreationDate,LastAccessed,LastModified

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /value

第3条命令是把每一个匹配到的文件按列值以文件维度逐个打印

下面这条命令效果跟第3条命令一样

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /format:list

注意看最后一个参数/format:后面跟的值

/format:csv

/format:hform

/format:htable

/format:list

/format:rawxml

/format:table

/format:texttable

/format:value

/format:texttablewsys

/format:wmiclimofformat

/format:wmiclitableformat

/format:wmiclitableformatnosys

/format:wmiclivalueformat

根据自己的需要选择

接下来举个藏匿在fonts文件夹的例子:

从services.msc服务列表里看很容易漏掉这个服务,藏匿得太像正常服务了,上面的是挖矿病毒,下面的才是正常服务

用杀毒软件处理完毕后,需要手动执行sc delete RpcEptManger从服务列表删除掉这个异常服务

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档