网站首页 > 开源技术 正文
Process Explorer
这个工具就像ctrl + alt + delete,而最新版则可以支持提交运行程序散列到VirusTotal用于识别功能。想要开启它,你需要去视图(View)→选择列(Select Columns),然后查看VirusTotal box继续选择选项(Option)→VirusTotal.com→检测(Check)VirusTotal.com并选择同意条款。很明显,你需要有一个活跃的网络链接。而想要找到问题,只需要查看VirusTltal列中红色评级的部分。
下载链接
Autoruns
Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件,它能用于显示在 Windows启动或登录时自动运行的程序,并且允许用户有选择地禁用或删除它们,例如那些在“启动”文件夹和注册表相关键中的程序。
选择选项按钮→扫描功能→检查VirusTotal.com然后单击重新扫描。已知的病毒会以高于0检测率的水平弹出,即使病毒没有被识别出,还是很容易通过一些奇怪的名称或者红色警戒提示而发现他们,如下图所示。
下载链接
打开管理员命令提示符并输入以下内容:
reg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" shimcache.reg
然后把你存放Mandiant脚本的文件解析出来:
python shimcacheparser.py -o output.csv -r shimcache.reg
这将生成输出一个.csv文件,你应当按日期或者文件夹名称排序,然后分析那些名称奇怪的可执行文件。特别值得注意的是,用户临时、桌面以及下载的文件,这些都是我经常发现有中毒的地方。通常人们会下载一些垃圾邮件exe,在桌面运行然后放一些东西到应用数据、本地、临时文件中。这结果应该是显而易见的,因为同时会有存在问题名称的几个条目。这里有一个ShopAtHome广告软件的例子。
07/14/09 01:16:17 N/A C:\Program Files\Common Files\System\wab32.dll,N/A,False
07/14/09 01:15:38 N/A C:\Windows\System32\mf.dll,N/A,False
03/21/14 21:13:42 N/A C:\Program Files\Common Files\VMware\Drivers\vss\comreg.exe,N/A,True
03/21/14 20:22:54 N/A C:\Program Files\VMware\VMware Tools\TPVCGateway.exe,N/A,True
03/21/14 20:22:54 N/A C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe,N/A,True
07/14/09 01:14:29 N/A C:\Windows\system32\printui.exe,N/A,True
07/14/09 01:14:23 N/A C:\Windows\System32\mctadmin.exe,N/A,True
07/14/09 01:14:30 N/A C:\Windows\System32\regsvr32.exe,N/A,True
07/14/09 01:14:45 N/A C:\Program Files\Windows Mail\WinMail.exe,N/A,True
07/12/09 07:55:40 N/A c:\a8bae8b25b3310ea7c\install.exe,N/A,True
01/25/15 16:08:10 N/A C:\Users\IEUser\AppData\Roaming\ShopAtHome\ShopAtHomeHelper\Exec.exe N/A True
01/25/15 16:08:36 N/A C:\Users\IEUser\AppData\Roaming\ShopAtHome\ShopAtHomeToolbar\ShopAtHomeHelperInstaller.exe N/A True
01/25/15 16:08:14 N/A C:\Users\IEUser\AppData\Roaming\ShopAtHome\ShopAtHomeHelper\RibbonConfig.exe N/A False
08/14/14 13:08:10 N/A C:\Users\IEUser\AppData\Local\Temp\{7EAD7ED1-4F98-47EA-AF3E-1652458B1DFD}~setup\vcredist_x86.exe,N/A,True
08/14/14 13:08:01 N/A C:\Users\IEUser\AppData\Local\Temp\vmware-IEUser\00000265\setup.exe,N/A,True
07/14/09 01:14:28 N/A C:\Windows\System32\powercfg.exe,N/A,True
08/14/14 12:46:50 N/A C:\Users\IEUser\AppData\Local\Temp\upgrader.exe,N/A,True
08/14/14 12:46:50 N/A C:\Users\IEUser\AppData\Local\Temp\storePwd.exe,N/A,True
08/14/14 12:46:50 N/A C:\Users\IEUser\AppData\Local\Temp\unattendNaNd,N/A,False
07/14/09 01:14:23 N/A C:\Windows\system32\mcbuilder.exe,N/A,True
07/14/09 01:14:46 N/A C:\Windows\system32\winsat.exe,N/A,True
07/14/09 01:14:28 N/A C:\Windows\system32\oobe\oobeldr.exe,N/A,True
07/14/09 01:14:25 N/A C:\Windows\system32\oobe\msoobe.exe,N/A,True
UserAssist
这个工具可以查询Windows被浏览器执行的文件列表。这个简单工具可以来用运行以及形象化的检查输出,发现任何奇怪的地方了吗?这里有一个我从Payload Security中找到的感染实例。
下载链接
Process Hacker
类似于Process Explorer以及其他同样的东西,但是我最喜欢Process Hacker的一个功能就是标记恶意程序的过程非常迅速。关闭所有的程序,然后在视图菜单中检查“Hide Signed Processes”,经常这么做会让列表中仅剩下恶意执行文件。(在Process Explorer中这么操作:选项→验证图像签名,然后查看是否签署)。这里有个恶意软件的例子。
下载链接
Process Hacker同时附带了一个你所能找到的最优秀的程序杀手,点击进程,单击杂项(Miscellaneous)→终结者(Terminator)。这个功能将会尝试越来越多疯狂的事情,包括将垃圾信息写到内存中。
分析提示
在Process Explorer中,右键单击一个进程,打开属性然后选择标签的字符串。或者,在Process Hakcer中,右键单击恶意进程,选择属性→内存选项卡→单击字符串按钮→单击默认值OK。你会获得来自内存运行进程中的字符串,几乎总是包括了命令和控制地址,告诉你该屏蔽以及回调的内容或类型。在以上恶意软件中,你能看到多个IP地址,以及这样一个事实:这将至少尝试一个HTTP POST请求,或者看起来像的什么东西。你将拥有一个简易的输入/输出控制器,用于寻找是否有其他人感染了相同病毒。
FreeBuf.COM
- 上一篇: 玩外服LOL,了解这些让你更快进入角色~
- 下一篇: 熬夜之作:一文带你了解Cat分布式监控
猜你喜欢
- 2025-05-24 10倍压缩比?Lindorm与其他数据库实测大比拼
- 2025-05-24 春日生活打卡季#dps://p?url=https
- 2025-05-24 熬夜之作:一文带你了解Cat分布式监控
- 2025-05-24 玩外服LOL,了解这些让你更快进入角色~
- 2025-05-24 PSP 掌机经典游戏&系列推荐-2
- 2025-05-24 我的世界-福利包~
- 2025-05-24 开发微信小程序需要多久?流程有哪些?
- 2025-05-24 不是流行的你就能穿!get住潮流有技巧
- 2025-05-24 电商平台系统都有哪些性能指标?
- 2024-08-29 O2O系统源码你了解多少?怎么使用?
你 发表评论:
欢迎- 05-24Nginx正向代理配置
- 05-24网页代理服务器:性价比高的网页代理服务器,首选新天域互联
- 05-24美国香港站群服务器租用怎么搭建代理
- 05-24网络代理服务器出现问题?别慌,这里有3种解决办法!
- 05-24使用Python构建高效的HTTP代理服务器
- 05-24乱改IP属地易衍生犯罪,治理重点管住源头
- 05-24浅析代理服务器中的透明代理
- 05-24如果搭建代理服务器
- 最近发表
- 标签列表
-
- jdk (81)
- putty (66)
- rufus (78)
- 内网穿透 (89)
- okhttp (70)
- powertoys (74)
- windowsterminal (81)
- netcat (65)
- ghostscript (65)
- veracrypt (65)
- asp.netcore (70)
- wrk (67)
- aspose.words (80)
- itk (80)
- ajaxfileupload.js (66)
- sqlhelper (67)
- express.js (67)
- phpmailer (67)
- xjar (70)
- redisclient (78)
- wakeonlan (66)
- tinygo (85)
- startbbs (72)
- webftp (82)
- vsvim (79)
本文暂时没有评论,来添加一个吧(●'◡'●)