Windows应急响应-灰鸽子远控木马
目次[*]应急配景
[*]木马查杀
[*]1.检察非常毗连
[*]2.根据端标语检察对应进程文件
[*]3.排查非常服务
[*]4.发现启动项
[*]开始查杀
[*]入侵排查
[*]1.账号排查
[*]2.检察服务
[*]3.检察启动项
[*]4.检察计划使命
[*]5.网络环境
[*]6.进程排查
[*]重启再排查一遍
应急配景
历某本日刚入职公司,拿到公司电脑后准备下载一些接下来工作中要用的办公软件,他就去某度上直接搜刮,由于刚入职,兴奋的他并没有仔细看是否为官方下载,下载下来后也是无视风险双击安装,但是他发现安装完成后,安装包自动消失,且在电脑上也没有对应的程序可启动,他这时候意识到可能是中病毒木马了,喊来安全职员竹某来帮他排查一下。
竹某相识环境后开始下面的应急操作。
木马查杀
1.检察非常毗连
#findstr "ESTABLISHED"表示查看已建立连接的ip&&端口
netstat -ano | findstr "ESTABLISHED"https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTM3MS0xMzM3MzI0NzIxLnBuZw==
正常真实配景中必要拿ip去检察归属地是否属于公司的,但是这里我自己搭建的环境就忽略了。
2.根据端标语检察对应进程文件
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTE1Ny02MDk1NjY0ODEucG5n
开始查找进程文件,这里直接用windows查找没找到,只找到一个类似的,那么基本可以确定做了一个文件隐藏,这时候只能上工具了。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTI3Mi02NjMwMDQzMTAucG5n
这里本来是要用xuetr,但是xuetr在我这个win7中用不了了,假如能用的话最好还是上xuetr,这个工具还是挺吊的,但是如今网上好像找不到,没了。
我们可以使用PChunter这款工具能看到隐藏的文件,同时还能帮你排查进程,PChunter用的比较多,还是挺牛的,但是后面排查进程这些我会更多的用其他工具来辅助,由于最近在相识学习其他工具。
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb
打开PChunter后实在你也会发现他存在没有官方签名的进程模块,再次印证了他的可疑性。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTE3OS0xNjUzNDM2NDE2LnBuZw==
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTEzNC0yMTk1MTcwOTgucG5n
然后就可以定位文件了
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTI0Ni02NTU5NzYxNTMucG5n
然厥后到下图位置,这里就能看到文件了
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc2NC05NjU5NTMxOTMucG5n
这里先不删除,先右键拷贝出来,生存样本。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTY3MS0zNzM3NzQwMTkucG5n
丢到沙箱上跑,就可以确定是木马后门了。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc4OC0xNjk4OTA4Mjg0LnBuZw==
线索卡:
1.已确定了木马后门以及他的文件路径
3.排查非常服务
接下来我会使用Process Hacker和微软自带的Process Explorer。
Process Hacker工具分享地址:
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
Process Explorer工具分享地址(微软的也可以到官网下载):
https://pan.baidu.com/s/1hipHkotl7-B-N9XfmRhmnQ?pwd=hb2s
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc5OC0yMDg2MzA5MjE4LnBuZw==
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc4MS0zNTg1Mjg5ODgucG5n
打开Process Hacker可以看到这个文件下面还开了一个子进程IE,如今就很明确了,干掉这个就行,但是为了方便起见可以根据这个进程找到所有相关文件。
可以优先排除有签名校验的
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc4My00NTI0MTg5NDUucG5n
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg5Mi0xNDQ1NDkzNDcucG5n
发现依旧是这个可疑进程之后,我们取消掉排除已签名的进程,这样可以看到更多,可以看到我们的Process Hacker找到的也是这个程序文件,取消取出签名校验,检察全部可以看到同样sec520下面另有一个子进程ie。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTU5Mi0xMjU4MTExNjQ3LnBuZw==
接着右键这个父进程sec520,看到有服务,那就跳转到服务中检察
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg1MC0xNjMwMjE4NDQ3LnBuZw==
咋一看居然是windows,这里就不能随意判定了
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTk3Ni05NzU4ODA3NjAucG5n
我们右键检察属性
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg2MS0xMjEzNTI3Njg1LnBuZw==
开幕雷击,直接就看到瑕疵了,要是木马修改了这个描述我还真一下子分不清楚。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc4NS04MjY5ODc1MzUucG5n
线索卡:
1.已确定了木马后门以及他的文件路径
2.进程存在对应的服务,服务名为windows
4.发现启动项
为了更进一步验证我们的判定,我再用上Process Explorer工具
这里打开视图方便看到更多信息,下面是我打开的选项列,根据需求自定义。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkzNy0xNzU0NTE3NjAyLnBuZw==
然后可以看到验证签名中依旧是对应之前的那个程序文件有非常
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgyMC0xOTQzOTI3ODM1LnBuZw==
接着我们发现最右边看到了还存在自启动项,另有给出了对应的注册表的位置(工具给的是HKEY开头,但实在是下面这个注册表位置):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgzMC04MTUwNTU0NTQucG5n
怕删不彻底的话还可以借助另一个工具:
Autoruns工具分享链接:
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
打开这个工具可能稍稍必要等待一会,他必要扫描时间。
你会看到确实存在自动启动项。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkwNC0xOTkyMDgwNjMwLnBuZw==
线索卡:
1.已确定了进程、木马后门以及他的文件路径
2.进程存在对应的服务,服务名为windows
3.存在自启动项
开始查杀
1.删除进程和文件可以直接PChunter一步搞定,留意这里是由于我们确定了这个不是系统自带的才能删除,有的他是依靠在系统exe文件,以是删除要慎用。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg5Ny0yMzczNjc1ODkucG5n
(假如你希望手动删)起首先手动停掉进程才能删除文件,命令如下
taskkill /PID 2276 /F接着删除文件,使用PChunter删除
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTk3Mi02OTQ5NDkwLnBuZw==
2.删除服务
先前用Process Hacker定位到了服务,肯定也能进行删除,Process Hacker会删的比较彻底。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgxMy03MDQ1MDM3NzAucG5n
假如不给用工具的话就在windows上搜刮服务,然后找到对应非常服务删除即可。
3.删除启动项
这里我删完服务后发现启动项也已经删掉了,看来Process Hacker还是挺吊的,下图是之前截图,假如你发现另有非常启动项的话就必要删除。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg4MS0xOTU4OTMzNTc0LnBuZw==
然后排查是否另有非常毗连,发现已经干掉了,而且没有继续建立毗连
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc5Mi05NDU4MjM3MTYucG5n
入侵排查
这一步是弥补在木马查杀中没有顾及到的,由于应急肯定是比较着急的,先解决了头部题目,然后这里接下去就要处置惩罚后门了。\
1.账号排查
使用命令检察(账户做了隐藏的话该命令基本看不到)
net user可以右键盘算机管理排查非常用户
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg5Ni01MjUwOTYyMTkucG5n
检察普通用户和用户组是否非常
(即:普通用户是否加入了管理员组之类的非常)
这里统统正常
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc3NC05MjE1OTYyOTYucG5n
排查是否存在克隆账号,手工检察
win+r输入regedit打开注册表,接着找到以下位置:\
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users假如SAM打不开就右键他,把管理员权限设置为完全控制
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc5NC0xMjU3NTcyMjgucG5n
Names账户中的类型值对应上面的账户数据
fuck账户
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg3Ni03NDc5NzM3OTkucG5n
administrator账户
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTcyMy0xMjU2NTgxOTEucG5n
接着对比一下数据,发现是一样的,那么就是存在克隆账号了
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkwNS0xMjI3NDU5MjY4LnBuZw==
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkwOC0xMzI4MjUxMjY0LnBuZw==
更多真实环境是黑客会伪造一个让你容易混淆的账号,一般不会起名字像fuck这种名字,那么我们知道是克隆账号后,和运维沟通一下直接删除掉即可。
直接在注册表内里删除的话,不要使用系统命令直接删,这样可能会损坏被克隆的那个好的账户,我就踩这个坑了。
注册表中找到fuck账户另有对应的数据,右键都删除即可。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgxMC0xNjg3Mjg0MzQwLnBuZw==
同时也可以使用D盾工具来检察是否存在克隆账号
D盾工具分享链接(也可以去官网下载):
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
D盾中发现克隆账号,右键删除即可
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc5Mi0xNzYzNzMzMzE2LnBuZw==
假如D盾删不掉的话,同样直接在注册表删除是最好的。
接着顺便检察一下有没有开启远程桌面毗连,跟同事沟通一下应该是不开启的,直接关掉即可。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkxNi03MjUyOTM0NDMucG5n
2.检察服务
服务就使用PChunter来检察,着重看没有厂商签名的
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTk2Ny0xODYwODU0NjgyLnBuZw==
由于我们之前的后门服务是Windows名字,以是要再看下是否又重新启动或者没有删干净。
这里必要知道系统服务跟以下的注册表几个项目相关:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services我们去检察这三个是否有windows后门相关,由于之前后门服务名字叫做windows,但实在是灰鸽子后门。
都检察完成后发现确实删干净了,不存在后门服务
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgwMS01NzUyNTQ2MTkucG5n
PS:注明一下
不发起使用PChunter和Antoruns来删除,删不干净,实测发现这两貌似只会将注册表中重要数据的删除,剩下另外的几个目次项另有残留。
比如autoruns中剩下三个目次项都没删干净,可能autoruns只能删除开机自启相关的,只能继续手工将其残留项删除。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTc4OS0xMzg5Mjg1ODA3LnBuZw==
3.检察启动项
启动项可以用Autoruns和PChunter看,着重看没有厂商签名的
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkyOS0xMTA0NTIxMjg1LnBuZw==
系统文件夹检察启动项
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg4NC0xNTk4Njc4MjIxLnBuZw==
同时定位到文件夹中使用PChunter直接看有没有隐藏文件
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgzNC0xNzE4NDkxMjgzLnBuZw==
发现没有隐藏文件,启动项正常
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkxMS0xNDkwOTAyNzQ4LnBuZw==
接着win+r输入gpedit.msc,检察组策略,这里也可以看到有没有启动脚本
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgyOS0xODc5MjkwNTg3LnBuZw==
还可以继续排查一下注册表对应的启动项
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg1MC0xMDE4ODY1NzI1LnBuZw==
4.检察计划使命
win+r输入taskschd.msc,打开计划使命,统统正常
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg2NS04NzkyMzI1MTYucG5n
5.网络环境
检察网络与端口环境,统统正常
netstat -anohttps://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg0Ni0xMjk3OTMxMTY0LnBuZw==
6.进程排查
可以通过PChunter等等工具进行二次排查,着重看sec520字眼,重要看是否又运行起来了。
检察pid对应程序以及对应的服务名,统统正常
tasklist /svchttps://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTgyNi0yMTQxMTY1MzM3LnBuZw==
重启再排查一遍
重启再次检察。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTg0Mi0xODkyNzY3NzE5LnBuZw==
剩下的就是排查进程文件是否又再生了,服务是否还在,对应的注册表中是否还残留或者又再生,也就是说你之前查杀过程中遇到的非常环境都要再次排查一遍。
这里省略过程只检察了是否又对外毗连了
这时候在不远处的一位黑客发现他的灰鸽子放飞了,检察确实没有上线机器。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pbWcyMDI0LmNuYmxvZ3MuY29tL2Jsb2cvMzM5Mjg2Mi8yMDI0MTAvMzM5Mjg2Mi0yMDI0MTAwMTA0MzI0OTkxMi0xMjc1MDQ4NzUzLnBuZw==
统统正常,收工。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]