本文共 656 字,大约阅读时间需要 2 分钟。
病毒查杀、流量分析、进程分析、自启动项、内存取证 威胁情报:微步在线、360网络安全研究、ISC SANS威胁检测
使用杀毒软件或者 EDR 工具进行全盘扫描查杀 工具:EDR、TBScaner、360杀毒、电脑管家、sophos、mcafee、commodo
挖矿病毒,僵尸网络,肉鸡, CC 服务器,内网传播等恶意行为都需要与其他主机进行通信 工具:netstat 命令或者借助一些成熟的工具如PChunter ,TCPViewer
1. Windows核心进程 // 如explorer.exe(资源管理器)、winlogon.exe(用户登录) 2.系统进程// svchost.exe(Windows服务主进程) 、lsm.exe(本地回话管理器) 3.用户进程 // qq.exe(腾讯QQ主程序) 、chrom.exe(Google浏览器)
1.病毒自己的exe程序 2. 注入到系统程序 3. 其他方式
virustotal、PowerTool、Procmon、comodoCCE、火绒剑
病毒为了实现保活,不可避免会添加或修改启动项、服务项,因此启动项也是非常重要的入手调查点 工具:autoruns、PEtools、PowerTool
恶意程序运行在windows系统当中必然会加载到系统内存当中 工具:IDA、PowerTool
转载地址:http://cmnhf.baihongyu.com/