学会排查“木马病毒”
(一)了解计算机中的“进程”、“服务”、“计划任务”和“启动项”
1.进程【proccess】
它就是正在进行的程序实例,是操作系统资源分配和调度的基本单位
2.服务【service】
一种程序后台运行的程序,通常不需要与用户进行交互。它们主要用于执行系统任务(如,网络连接、打印管理、自动更新),通常随系统启动项而自动运行,独立于具体的用户登录会话。
3.计划任务【scheduled tasle】
按照预设的程序时间、日期或者特定条件(如,系统启动时、用户登录时)自动执行程序和脚本
4.启动项【startup ltem】
在操作系统启动或者启动用户登录时自动加载并且运行程序
(二)学会木马排查
1.进程排查
进程排查需要你打开任务管理器(按住ctrl+shift+Esc),查看正在运行的进程列表,重点关注异常名称以及高资源占用和来历不明的进程。(如,lsass.exe(正常名称)-->出现异常路径或者异常行为;cmd.exe或者powershell.exe等窗口被恶意调用的进程)
2.网络连接排查
使用(netstat -ano命令查看当前网络连接,筛选陌生或者高危的IP的地址、非标准端口(如4444、6666)等连接,判断是否在反弹shell或者外联
3.启动项排查
通过(win+R快捷)打开“运行”,输入“msconfig”或者使用autorun工具,检查系统启动中是否存在可疑程序;与此同时检查注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4.计划任务启动排查
“运行”中输入"taskschd.msc"打开任务计划程序,查看是否存在异常的定时任务,木马通常通过计划任务实现计划任务实现持久化运行。
5.服务排查
打开“运行”,输入“services.msc”查看系统服务,(net start命令)确认无异常运行;部分木马会伪装成服务进程,如类似于“windows Update”但是实际路径非系统目录。
6.日志排查
windows系统日志,打开日志的方法:(win+R),打开运行,输入“eventvwr.msc”;通过桌面的计算机图标右击选择“管理”,打开计算机管理左侧的窗口,依次展开“系统工具”->“事件查看器”;(win+R),输入“control”,进入控制面板选择“系统和安全”,在里面的列表中选择“管理工具”再列表中找到“查看工具”,双击“查看事件日志”。(Event Viewer)系统日志中的系统日志、安全日志、寻找异常登录、进程创建、权限变更等记录。
7.系统账户排查
确认系统账户无异常添加用户,尤其是检查是否存在无密码、无描述、无权限的异常账户;同时查看管理员组的成员是否有添加;可以打开用户组来查看用户组里的用户。比如,“win+R”打开cmd窗口输入“net user”查看(想时隐藏用户就不能够被查出来),接着输入“net localgroup Administrators”查看管理员组中的成员以及查看远程桌面用户输入“net localgroup "Remote Desktop UIsers"”等;可以通过桌面的计算机图标中点击“管理”-->"系统工具"-->"组"。
8.磁盘与文件排查
使用资源管理器或者命令“dir/s”搜可疑的文件,特别是临时文件、用户下载的目录中的未知文件;检查系统关键目录在(如,C:\windows\system32),是否存在可疑文件。
9.进程内存与行为分析
使用专业的工具(如 wireshark),进一步分析进程的DLL加载、文件操作、网络行为等,判断是否具有而恶意特征。
