首页 > 系统相关 >病毒&windows,linux机制

病毒&windows,linux机制

时间:2022-10-20 12:46:19浏览次数:93  
标签:windows 火绒 linux 自启动 工具 病毒

前言

以病毒流氓软件为引,了解windows,linux机制

流氓软件

p2p

软件园

360全家桶

等等

彻底删除文件,程序

程序

不要用系统带的卸载

找到他本身程序的卸载exe,推荐用geek会自动找的

文件

不要直接回收站删除,可以数据恢复

强力卸载,文件粉碎之类的

前置知识

服务

相当于是计划任务,

image-20221007193512872

钩子HOOK

pchunter,火绒剑,powertool都可以看

程序的跳转

分为内核级和进程级

日志

简介

windows重要事件的记录,不是什么都有,linux记录的会多一些

查看方式:

计算机管理里面:事件查看器,也可以在这删除日志,过滤

或者用第三方工具fulleventlogview-x64

三方工具也不是很好用,但是可以全列出来,不用一个个点击,但也就是说没分类的,三方工具是从自带的抓取出来的,而且不能删除日志

windows中存放位置

C:\Windows\System32\winevt\Logs

hta文件

代码类似于html,但是里面是不能写css,js的,用的是vb那一套

image-20221013163857550

WMI

可以通过WMI管理操作系统,查询任何数据

查看工具:SimpleWMIVIEW

image-20221013165825341

监控器

资源监控器:ARK软件

性能监视器

ARK软件

安全分析软件,也叫手动杀毒软件
xuetr(pc hunter)(64),火绒剑(64),systracer(32),power tool(32,64)

分析工具

systracer

image-20221006192957921

会记录注册表,内存,文件的修改增加和删除,删除的会进行备份,还可以看和谁连网

但仅适用于32位程序

autorun

可以看自启动,并删除自启动,要比火绒那个更全面,但是用户体验不如火绒

shell:startup是计划任务

SysinternalsSuite

微软自己做的工具集

使用时可以把它先下载下载下来并加入环境变量

autorun也在其中

strings64:查看字符串

image-20221007170639152

Procmon64:进程监控,火绒剑也可以

image-20221007171700181

procexp64:看进程

image-20221007171730779

TaskSchedulerView

查看计划任务

杀软

火绒,360,卡巴斯基,qq,金山毒霸等等

对于流氓软件大多数杀软可能是有合作的,不会拦截,没合作的会拦截

用户体验计划要关闭,他会把文件上传分析的

特别说一下火绒:比较推荐

  • 火绒不支持关闭自我保护进行软件调试,就算退出也会运行的

  • 火绒是本地查杀不是云查杀,病毒库每天更新

  • 相对简洁,无流氓

病毒

前言

所有的病毒都是利用了操作系统的机制进行执行的,万法归一,但是目的可以有很多如删库,盗号,盗图纸数据,勒索,挖矿,等等

脚本病毒

Powershell
Bat
Shell
Python
PHP
SQL
Javascript
JSP
bash(linux)
Vbs
Lua
CAD
ActioinScript Flash
ASP
ASPX
Perl
JSPX
NSI
Autolt3

office病毒

类型

插件加载弹窗
dde协议(动态数据交换)
宏病毒
等等

宏病毒分析工具

oletools

安装:pip install oletools

使用:-a检测 -c打印恶意代码出来

olevba -a "C:\Users\dzl\Desktop\新建 Microsoft Word 文档.docx"

olevba -a "C:\Users\dzl\Desktop\新建 Microsoft Word 文档.docx" -c >C:\Users\dzl\Desktop\code.txt

Cerbero Suite:图形化的工具,基本什么格式文件都能分析还可以做磁盘病毒扫描

image-20221012211318165

挖矿病毒

计算机管理-计划任务
执行powershell脚本
下载挖矿文件,运行
计划任务也可能进行自启动

勒索病毒wannacry

虚拟机里玩,虚拟机断网避免它横向移动

新的勒索病毒基本无解,老的勒索病毒一部分会有工具解密

这个网站上有Home | The No More Ransom Project

wannacry会按照后缀名将文档进行加密,bitcoin勒索

image-20221007180339842

常见手段

计划任务

白加黑(dll等):可以用火绒剑分析
svhost命名:可以用火绒剑分析

bios引导

硬盘病毒

加钩子

引导性病毒

举例:bios和操作系统之间加锁

发送指令的工具:RWeverything,Bus hound,win11运行不了

硬盘病毒

修改硬盘中的处理器指令像计算机发送病毒,可以与引导性病毒结合,病毒先启动,可以先把杀软关了

病毒/恶意程序处理方法

看计划任务:autorun
火绒剑看进程,服务,网络,公司名(数字签名不可伪造)
看日志
看文件内容
virustotal查杀

工具推荐

进程监控:32位:systracer,64位:火绒剑,Procmon64
查看进程,网络,服务签名ark:火绒剑
看自启动计划任务:autorun
看日志:系统自带

标签:windows,火绒,linux,自启动,工具,病毒
From: https://www.cnblogs.com/rabbitmind/p/16809451.html

相关文章

  • Linux du命令:统计目录或文件所占磁盘空间大小
    du是统计目录或文件所占磁盘空间大小的命令。需要注意的是,使用"ls-r"命令是可以看到文件的大小的。但是大家会发现,在使用"ls-r"命令査看目录大小时,目录的大小多数是4KB......
  • windows常用命令
    进程相关查看进程netstat-anto有端口号,pid等tasklist:有进程名字终结进程taskkill/f/t/pid数字tskill进程名称查询进程netstat|findstr名称taklist|find......
  • 使用linux系统安装docker
    使用yum/apt安装ubuntu自带的源里面有docke.io,这个是Debian团队维护的docker,我们用官方团队维护的docker-ce。打开阿里云的docker-ce镜像站(https://developer.aliyun.co......
  • Linux 搬砖常用Shell-扩展
    1.基础语法1.1.循环#!/bin/bashforiin`seq110`doecho"xxxx"done1.2.SHELL中的特定变量$#传递到脚本的参数个数$*以一个单字符串显示所有向脚本传递的参数。与......
  • hybrid App原理介绍、环境搭建、打包(Cordova)及常见错误解析(windows环境)
    hybridApp原理介绍、环境搭建、打包(Cordova)及常见错误解析(windows环境):https://blog.csdn.net/u011350550/article/details/84637024?spm=1001.2101.3001.6650.7&utm_mediu......
  • 解决linux系统时间不对的问题
    输入date查看时间,发现不对,相差甚远!(当前时间2019/09/0611:19)   安装ntpdate:   删除etc/localtime文件,并复制shanghai时区文件替换到这里。   然后ntp......
  • Windows 10, version 22H2 (released Oct 2022) 简体中文版、英文版下载
    请访问原文链接:https://sysin.org/blog/windows-10/,查看最新版。原创作品,转载请保留出处。Windows10版本信息2022/10/19从Windows10版本21H2开始,Windows10版......
  • linux下rsync的同步
    rsync是linux系统下的数据镜像备份工具。使用快速增量备份工具RemoteSync可以远程同步,支持本地复制,或者与其他SSH、rsync****主机同步文件下载地址:链接:https://pan.bai......
  • Linux笔记-top命令信息详解
    目录参考资料top命令详解使用/proc/self/status注入代码监控某段代码执行前后进程内存状态参考资料https://segmentfault.com/a/1190000013504502https://blog.csdn.net......
  • Linux shell 常用函数
    *以下函数或文件,在某些发行版本系统不支持,请先测试确认是否可用。 ####  生成连续的数字  ####  方式一: [1]正序:{1..16}倒序:{16..1}示例:forni......