展开

关键词

应急响应系列之利用ProcessMonitor进行恶意文件分析

二、专杀原理 目前各大杀软与EDR厂商以及个人研究者针对不同的病毒,如Ramnit、驱动人生、Sality、飞客蠕虫都在推出自己的专杀工具,那么有没有小伙伴想过病毒专杀工具的原理呢? 其实仔细想想也不复杂,其专杀的核心逻辑如下所示: 1. 分析病毒的功能特征(文件行为、注册表行为、网络行为、进程操作等),这一块是专杀的核心要点,必须把病毒的行为分析透彻 2. 针对病毒的相应行为进行反制,如病毒在c:\windows\下创建了1.exe文件,专杀就是到c:\windows\下找到这个文件并删除(根据MD5判断是否是同一个文件) 说起来很简单,但是在真实的实战中 ,需要病毒专杀作者深入分析病毒的功能特征,并且完善相应代码来进行查杀。 但是在真实的场景下存在各种问题导致专杀查杀不彻底,这个时候就需要根据其特征来进行手工清除。

69320

Windows应急响应Day2:蠕虫病毒

通过端口异常,跟踪进程ID,可以找到该异常由svchost.exe windows服务主进程引起,svchost.exe向大量远程IP的445端口发送请求。 windowssystem32qntofmhz.dll异常 使用多引擎在线病毒扫描对文件进行扫描:http://www.virscan.org 确认服务器感染conficker蠕虫病毒,下载confiker蠕虫专杀工具对服务器进行查杀 3.病毒处理:使用conficker蠕虫专杀工具对服务器进行清查,成功清除病毒。

14520
  • 广告
    关闭

    【玩转 Cloud Studio】有奖调研征文,千元豪礼等你拿!

    想听听你玩转的独门秘籍,更有机械键盘、鹅厂公仔、CODING 定制公仔等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Window应急响应(二):蠕虫病毒

    通过端口异常,跟踪进程ID,可以找到该异常由svchost.exe windows服务主进程引起,svchost.exe向大量远程IP的445端口发送请求: ? 确认服务器感染conficker蠕虫病毒,下载conficker蠕虫专杀工具对服务器进行清查,成功清楚病毒。 ? 4、病毒处理:使用conficker蠕虫专杀工具对服务器进行清查,成功清除病毒。

    40230

    Win10高危漏洞遭黑产攻击!腾讯安全紧急响应全面拦截

    目前,腾讯电脑管家、T-Sec 终端安全管理系统均可修复该漏洞,腾讯安全也已率先发布漏洞利用恶意程序专杀工具,可快速检测可疑程序是否利用CVE-2020-0601漏洞伪造证书,用户可运行此工具扫描本地硬盘或特定目录 鉴于该漏洞具有极高的利用价值,而且在很短时间内漏洞利用方法已被黑产所掌握,腾讯安全专家建议广大企业网络管理员,可参考以下方法运行专杀工具清除危险程序。 该操作请谨慎,删除后无法还原 2,命令行模式(企业模式): a,将exe以命令行启动,比如扫描C盘test目录(##dir=C:\test;autodel=N),如果要全盘扫描(##dir=root;autodel =N) b, 如果要自动删除则设置autodel=Y 产品截图:如下 CVE-2020-0601漏洞利用恶意样本专杀工具下载地址: http://dlied6.qq.com/invc/xfspeed/ qqpcmgr/download/cve_2020_0601_scan.exe 同时,腾讯安全建议企业用户立即升级补丁尽快修复该漏洞,或使用T-Sec 终端安全管理系统(腾讯御点)统一检测修复所有终端系统存在的安全漏洞

    2.5K161

    常用问题排查工具和分析神器,值得收藏

    7 专杀工具 7.1 飞客蠕虫专杀 功能:专门针对飞客蠕虫病毒进行查杀的工具。 飞客蠕虫专杀工具有 kidokiller(卡巴斯基出品)、TMCleanTool(趋势科技出品)。 7.2 Ramnit 专杀 功能:专门针对 Ramnit 类家族病毒进行查杀的工具。 FxRamnit 是赛门铁克出品的 Ramnit 专杀工具,其运行界面如下,点击”Start“按钮即可: 注:由于 Ramnit 是全盘感染性病毒,故此专杀工具运行时间比较长,需耐心等待(FxRamnit 该工具可以来窥探其他软件在实现一些功能时都调用了哪些系统API: 13.库依赖查看工具Dependency Walker Depenency Walker是库依赖查看工具,可以查看dll库的导出接口信息,也可以查看exe

    15220

    哈哈,我把熊猫烧香病毒扒了!

    来自:看雪论坛 链接:https://bbs.pediy.com/thread-266655.htm 0x0分析目标 详细分析病毒的行为和目的,编写出专杀工具以及修复工具 0x1 信息收集 1.1 哈希值 0x3 具体行为分析 3.1 主要行为 病毒运行后,会伪装成系统的spcolsv.exe进程,并修改注册表,达到启动运行和隐藏自身的目的,然后会对电脑的全盘文件进行扫描,然后系统的可执行文件和网页文件进行传播 原始病毒文件 拷贝自身到 ~/system32/driver/目录,重命名为spcolsv.exe并运行,然后结束当前进程。 2 感染可执行文件 感染目标文件后缀类型有:EXE、SCR、PIF、COM 具体感染请参考感染后的文件格式。 4.2 手工查杀 4.3 编写专杀工具 思路: 编写一个程序,遍历文件,如果是可执行文件,则检查标志字符串,如果是被感染文件则还原原始文件,如果是web文件,则删除最后一个iframe。

    37040

    练手之经典病毒熊猫烧香分析(上)

    此时你会发现进程名称不是panda.exe,而是spcolsv.exe,右键将他挂起再说。 ? 在上图的红框中,我们发现panda.exe启动了spcolsv.exe进程,然后spcolsv.exe有启动了三个cmd,执行的命令为:cmd.exe /c net share C$ /del /y , 可以看到panda.exe从自身分离出spcolsv.exe,然后将文件写到C:\WINDOWS\system\driver 文件夹下。然后panda.exe将spcolsv.exe启动起来。 5.编写简单的专杀工具 无论是手动杀毒还是自动杀毒,通过病毒的行为,我们主要从以下方面来杀死病毒: 结束 spcolsv.exe和setup.exe进程 删除spcolsv.exe,setup.exe \Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue设置为1 最后使用MFC编写了一个熊猫专杀工具

    99830

    【极客周刊】.VIP域名轰炸朋友圈,支付宝将推小程序,更多精彩内容...

    近期有消息称,支付宝也在内测小程序功能,作为BAT之一,面对着微信的挑衅,支付宝的出击也显得不是那么突兀,更有其中的理所当然。 目前,为了应对此次“暗云Ⅲ”木马的来袭,腾讯电脑管家已发布暗云III专杀工具,网友可到腾讯电脑管家官方论坛下载安装病毒专杀工具,尽快清除隐藏在电脑内部的木马病毒。 如果网友们找不到下载地址,也可以在本文底部点击“阅读原文”进入CIT极客下载中心,找到“暗云Ⅲ木马专杀工具”进行下载使用。 “windows手机”将逝 ?

    60550

    木马病毒介绍 Trojans virus backdoor rootkit

    还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据 也就是说好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马! 8、在Winstart.bat中 按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢待。 由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。  %1 中的“sysexpl.exe %1”更改为“NOTEPAD.exe %1”。

    1.3K30

    炎热八月,小心落雪

    ,在安全模式下用administrator登录也会启动,而且无法结束进程,而且江民卡巴都没有报告有病毒.花了点时间,找到了一个专杀工具,火速解决战斗,这个木马是通过电子邮件传播的,大家都看看自己的进程里面是不是有 WINLOGON.exe,而且用户是当前用户的,有那就中招了.下面给出他的资料和专杀工具. winlogon.exe病毒的查杀方法这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE 正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。 真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM, 而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。 再打入以下的命令: assoc .exe=exefile (assoc与.exe之间有空格) ftype exefile="%1" %* 这样exe文件就可以运行了。

    7110

    收藏:U盘数据丢失?先别着急覆写文件

    其实并不是U盘里的文件丢失了,只是中了蠕虫木马,这是一种内网中常见的U盘病毒,中毒特征是U盘里的文件被设置了隐藏属性,U盘里的文件夹都会被添加上可执行文件.exe后缀,那么我们怎么解决呢? dir /ah /s/b') do attrib "%%i" -s -h 然后把它放到那个盘当中或者文件夹里 双击就可以恢复了 推荐火绒杀毒: https://www.huorong.cn/ USB病毒专杀

    20720

    记一次公司mssql server密码频繁被改的事件

    通过sql执行exe,然后再用将自己进程kill的方式退出,基本可以判定这个应用不正常。 ? 走到这步可以得出结论,服务器中毒了。 本来想搜一下psa.exe,但是一般病毒名字都会用随机字符处理,感觉搜了也没用,就没有搜。 既然中毒了就装一个杀毒软件杀杀毒试试。 首先是查到2个病毒,杀了。 没招了,上网搜索pdoor.exe碰碰运气。运气不错,一下就出来了。链接 ? 更专业详细的内容可以看文章介绍。病毒的查杀方案在上面文章中也有。 结论 不要弱密码,不要弱密码,不要弱密码 专杀链接 下载,全盘扫描。

    28330

    驱动精灵恶意投放后门程序 云控劫持流量、诱导推广

    未安装火绒的用户也可以选择火绒专杀工具彻底清除后门程序“kbasesrv”。 (专杀地址见链接2) “kbasesrv”后门程序的投放方式除驱动精灵服务项、特殊版本的金山系软件安装包以外,最主要是在驱动精灵被用户卸载时投放。 相关链接: 1、双十一成流氓推广狂欢节 单日侵扰千万量级电脑 2、专杀地址 http://down4.huorong.cn/hrkill_1.0.0.31.exe 3、用户曝光金山劫持 https:// www.zhihu.com/question/26615909 http://www.vuln.cn/6310 4、金山毒霸"不请自来" 背后竟有黑产推波助澜 ---- :【分析报告】 目录 一、 调用后门模块相关代码 由于infocenter.exe、phoenix.exe和kwhcommonpop.exe三个模块关键代码基本相同,所以报告中仅以phoenix.exe进行分析说明。

    59420

    “暗黑流量”超大规模DDoS溯源分析

    基于域名的访问对机器的流量抓包,发现发起请求的进程为svchost.exe进程,并且确认父进程为spoolsv.exe。 进一步捕获svchost.exe的内存数据进行分析,也发现了相关域名的请求信息。 www.freebuf.com/articles/system/109096.html 暗云Ⅲ BootKit 木马分析 http://tav.qq.com/index/newsDetail/265.html 暗云Ⅲ木马专杀工具 http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe 五、致谢 本次事件响应中得到各合作伙伴的大力支持,特别感谢,排名不分先后

    2.4K00

    激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件

    另外,感染该病毒的用户,可以使用火绒专杀工具清除病毒。下载地址:https://down5.huorong.cn/hrkill-1.0.0.33.exe ? :【分析报告】 一、详细分析 今年以来,“麻辣香锅”病毒在互联网中大范围传播。 运行wrme.exe模块 3)Wrme.exe wrme.exe模块会启动执行模块wuhost.exe和wdlogin.exe。 上传dump信息 8)Wuhost.exe Wuhost.exe模块主要用于更新两个驱动模块。 重命名驱动模块 9)Wccenter.exe Wccenter.exe模块的主要功能是创建wrme.exe、wuhost.exe、wdlogin.exe进程,相关代码如下图所示: ?

    1.6K21

    游戏外挂传播后门病毒 欺骗用户“放心使用尽情奔放”

    通过分析发现,该后门病毒主要通过外挂程序(文中样本文件名为 “巴哈-盗贼之海 V4.1.exe”)进行传播,并通过官网提供下载链接(hxxp://xradar.cccpan.com/)。如下图: ? 释放文件及功能 而在该外挂软件的官网上,我们发现除了提供“巴哈-盗贼之海 V4.1.exe”外挂程序,还有“绝地求生”等多款游戏的外挂软件,经火绒工程师分析后同样发现其携带了上述病毒。 具体查杀步骤:(1)使用专杀工具查杀;(2)电脑重启;(3)重启后使用火绒安全软件进行病毒查杀即可。此外,火绒僵尸网络防护功能也可以成功拦截该病毒。 ?

    25530

    新病毒利用多家知名下载站疯狂传播 日感染量最高达十余万

    经技术排查发现,在“2345软件大全”、“非凡软件站”等18家下载站内(详见下图)均可能被该病毒利用,近期在这些站点下载过软件的用户,都有可能被感染,建议大家尽快使用“火绒安全软件”及专杀工具,对电脑进行扫描查杀 对于已经感染该病毒的非火绒用户,可以下载使用“火绒安全软件”及“火绒专杀工具”彻底查杀该病毒(操作流程详见Tips)。 Tips: “VanFraud”病毒查杀方式 1、先进入火绒官方论坛(http://bbs.huorong.cn/thread-18575-1-1.html)下载"专杀工具",安装后,点击"开始扫描"。 病毒被下载到本地后,该文件会被存放至temp目录名为 Net.Framework.d343007000000.exe,文件名后半部分为16进制的系统时间戳。相关代码如下图所示: ?

    26210

    勒索病毒解密工具速查

    lesuobingdu.qianxin.com/ 【深信服】勒索病毒搜索引擎 https://edr.sangfor.com.cn/#/information/ransom_search 勒索软件解密工具集: 【腾讯哈勃】勒索软件专杀工具 image.png (2)globeimposter:globeimposter分为V1版本和V2版本病毒 globeimposterV1病毒文件特征 how to back to your file.exe .TRUE .BIG1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM how_to_back_files.html image.png (3)ctfmon.exe 暂无解密工具 Virlock 暂无解密工具 (4)doubleplusar.exe ;doubleplusar2.exe;-1389526827.dll 隶属家族: CryptoMix-DLL 暂时无法解密 Fucksociety 暂时无法解密

    4.8K131

    暗云Ⅲ BootKit 木马分析

    **sewle.com:8877/ds/kn.html下载配置文件,然后根据配置信息下载exe执行或者下载dll,最后创建傀儡进程svchost执行。 能实现的功能开关参数信息删除指定的服务关删除指定服务和注册表关下载指定Dll并Load关下载Exe并执行关下载恶意代码,注入到傀儡进程执行开http://www. **sewle.com:8877/ds/kn.html下载配置文件,然后根据配置信息下载exe执行或者下载dll,最后创建傀儡进程svchost执行。 同时管家已经提供该木马单独的专杀工具供用户下载使用。 同时管家已经提供该木马单独的专杀工具供用户下载使用。

    1.3K70

    扫码关注腾讯云开发者

    领取腾讯云代金券