從事應急響應工作幾年之後,我認為總結一份快速確定電腦是否被感染木馬和病毒的“方法論”是十分有用的。這顯然不是那麼簡單的,可我卻發現感染幾乎存在於所有不複雜的攻擊中,如果你執行了以下檢測,便可發現存在感染並快速殺掉它。所有這些事情都可以由一個建立於Windows命令列功能的管理員命令提示字元完成。
1、WMIC 啟動項(WMIC Startup Items)
Windows已經有一個非常強大的工具——WMIC,在以下幾種方式中較容易為你的調查建立啟動項。只需開啟一個命令提示字元,然後輸入【wmic startup list full】。這是一個真實的例子,猜一下哪個項目不屬於其中,會是本地臨時檔案夾嗎?是的。如果你知道應該在列表中的東西以及一般正常啟動並執行位置,你就能在這裡暫停,通常這都非常簡單。找到程式,然後在malwr.com或者VirusTotal上尋找它的散列,看看它有沒有感染了其他什麼,然後刪除。
2、DNS 緩衝(DNS Cache)
開啟命令提示字元,並輸入【ipconfig/displaydns】。看看這些待反測的地區,有沒有任何的異常現場?在VirusTotal或者其他地方尋找他們解析的網域名稱及IP,看是否有與之相連的樣本。如果有,那麼你肯定被感染了。這裡有一個現成的例子:
3、WMIC 進程列表(WMIC Process List)
這是WMIC另一個受歡迎的項目,輸入【wmic process list full|more】,或者更緊湊但是更長的輸出【wmic process get description,processed,parentprocessid,commanline/format:csv.】。尋找在奇怪地方啟動並執行東西或者惡意、隨機、名稱怪怪的程式。
4、WMIC 服務列表(WMIC Service List)
如果你不清楚自己在尋找什麼,那這個用起來可能比較困難。但是檢測方便並且容易通過路徑或者exe名稱發現惡意軟體。格式與其他的相似,或者你也可以得到更具體“get”版本。輸入【wmic service list full| more】或者【wmic service get name,processid,startmode,state,status,pathname /format:csv】。這裡有個小例子展示了只有服務名稱和路徑的情況。
5、WMIC 工作列表(WMIC Job List)
這是個看起來最不可能發現任何東西的項目,因為絕大多數惡意軟體都不用jobs,但是在例如MPlug的一些版本中,是很容易檢測出的。輸入【wmic job list full】,你能夠獲得一個【沒有可用執行個體】的回執,這就意味著沒有已安排的項目在執行。
6、Netstat
莫忘記基礎,如果IP是Google或者stealyourbanknumber.su.【netstat -abno】的,輸出可能需要搜尋來查看,即使這樣可以還是尋找奇異的外部網站連接埠號碼碼,如25、8080、6667等等。
Netstat控制如下:
-a 顯示所有串連和監聽連接埠
-b 顯示參與建立每個串連或者監聽連接埠的可執行檔
-n 以數字形式顯示地址和連接埠號碼碼
-o 顯示擁有的每個與連結相關的進程ID
7、批次檔版本
用一種簡單可重複的方式完成這些WMIC東西並產生一份報告,怎麼樣呢?我已經有了。把東西都丟到一個批次檔中,然後設定一個主機名稱參數,你甚至能夠在全網中使用它——獲得其他電腦的適當許可權,方便進行遠程評估。
這個指令碼可以讓你更清楚的瞭解HTML格式的輸出,其中包括了你從電腦中擷取的資訊:
wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:triage-%1.html
wmic /node:%1 startup list full /format:htable >> c:triage-%1.html
wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:triage-%1.html
wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:triage-%1.html
wmic /node:%1 job list full /format:htable >> c:triage-%1.html
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
