從事應急響應工作幾年之后,我認為總結一份快速確定計算機是否被感染木馬和病毒的“方法論”是十分有用的����。這顯然不是那么簡單的���,可我卻發現感染幾乎存在于所有不復雜的攻擊中��,如果你執行了以下檢測����,便可發現存在感染并快速殺掉它����。 所有這些事情都可以由一個建立于Windows命令行功能的管理員命令提示符完成。
1、WMIC啟動項(WMIC Startup Items)
Windows已經有一個非常強大的工具——WMIC�����,在以下幾種方式中較容易為你的調查建立啟動項��。只需打開一個命令提示符�,然后輸入【wmic startup list full】��。這是一個真實的例子��,猜一下哪個項目不屬于其中,會是本地/臨時文件夾嗎?是的���。如果你知道應該在列表中的東西以及一般正常運行的位置,你就能在這里暫停���,通常這都非常簡單。找到程序�,然后在malwr.com或者VirusTotal上查找它的散列��,看看它有沒有感染了其他什么,然后刪除���。
2、DNS緩存(DNS Cache)
打開命令提示符,并輸入【ipconfig/displaydns】����?���?纯催@些待反測的區域�����,有沒有任何的異常現場���?在VirusTotal或者其他地方尋找他們解析的域名及IP,看是否有與之相連的樣本�。如果有����,那么你肯定被感染了�。這里有一個現成的例子:
3、WMIC進程列表(WMIC Process List)
這是WMIC另一個受歡迎的項目��,輸入【wmic process list full|more】�,或者更緊湊但是更長的輸出【wmic process get deion,processed,parentprocessid,commanline/format:csv.】。尋找在奇怪地方運行的東西或者惡意、隨機�、名稱怪怪的程序�。
4����、WMIC服務列表(WMIC Service List)
如果你不清楚自己在尋找什么,那這個用起來可能比較困難��。但是檢測方便并且容易通過路徑或者exe名稱發現惡意軟件�。格式與其他的相似,或者你也可以得到更具體“get”版本��。輸入【wmic service list full| more】或者【wmic service get name,processid,startmode,state,status,pathname /format:csv】��。這里有個小例子展示了只有服務名稱和路徑的情況����。
5�、WMIC工作列表(WMIC Job List)
這是個看起來最不可能發現任何東西的項目,因為絕大多數惡意軟件都不用jobs���,但是在例如MPlug的一些版本中,是很容易檢測出的���。輸入【wmic job list full】,你能夠獲得一個【沒有可用實例】的回執���,這就意味著沒有已安排的項目在執行���。
