前言
以病毒流氓软件为引,了解windows,linux机制
流氓软件
p2p
软件园
360全家桶
等等
彻底删除文件,程序
程序
不要用系统带的卸载
找到他本身程序的卸载exe,推荐用geek会自动找的
文件
不要直接回收站删除,可以数据恢复
强力卸载,文件粉碎之类的
前置知识
服务
相当于是计划任务,
钩子HOOK
pchunter,火绒剑,powertool都可以看
程序的跳转
分为内核级和进程级
日志
简介
windows重要事件的记录,不是什么都有,linux记录的会多一些
查看方式:
计算机管理里面:事件查看器,也可以在这删除日志,过滤
或者用第三方工具fulleventlogview-x64
三方工具也不是很好用,但是可以全列出来,不用一个个点击,但也就是说没分类的,三方工具是从自带的抓取出来的,而且不能删除日志
windows中存放位置
C:\Windows\System32\winevt\Logs
hta文件
代码类似于html,但是里面是不能写css,js的,用的是vb那一套
WMI
可以通过WMI管理操作系统,查询任何数据
查看工具:SimpleWMIVIEW
监控器
资源监控器:ARK软件
性能监视器
ARK软件
安全分析软件,也叫手动杀毒软件
xuetr(pc hunter)(64),火绒剑(64),systracer(32),power tool(32,64)
分析工具
systracer
会记录注册表,内存,文件的修改增加和删除,删除的会进行备份,还可以看和谁连网
但仅适用于32位程序
autorun
可以看自启动,并删除自启动,要比火绒那个更全面,但是用户体验不如火绒
shell:startup是计划任务
SysinternalsSuite
微软自己做的工具集
使用时可以把它先下载下载下来并加入环境变量
autorun也在其中
strings64:查看字符串
Procmon64:进程监控,火绒剑也可以
procexp64:看进程
TaskSchedulerView
查看计划任务
杀软
火绒,360,卡巴斯基,qq,金山毒霸等等
对于流氓软件大多数杀软可能是有合作的,不会拦截,没合作的会拦截
用户体验计划要关闭,他会把文件上传分析的
特别说一下火绒:比较推荐
-
火绒不支持关闭自我保护进行软件调试,就算退出也会运行的
-
火绒是本地查杀不是云查杀,病毒库每天更新
-
相对简洁,无流氓
病毒
前言
所有的病毒都是利用了操作系统的机制进行执行的,万法归一,但是目的可以有很多如删库,盗号,盗图纸数据,勒索,挖矿,等等
脚本病毒
Powershell
Bat
Shell
Python
PHP
SQL
Javascript
JSP
bash(linux)
Vbs
Lua
CAD
ActioinScript Flash
ASP
ASPX
Perl
JSPX
NSI
Autolt3
office病毒
类型
插件加载弹窗
dde协议(动态数据交换)
宏病毒
等等
宏病毒分析工具
oletools
安装:pip install oletools
使用:-a检测 -c打印恶意代码出来
olevba -a "C:\Users\dzl\Desktop\新建 Microsoft Word 文档.docx"
olevba -a "C:\Users\dzl\Desktop\新建 Microsoft Word 文档.docx" -c >C:\Users\dzl\Desktop\code.txt
Cerbero Suite:图形化的工具,基本什么格式文件都能分析还可以做磁盘病毒扫描
挖矿病毒
计算机管理-计划任务
执行powershell脚本
下载挖矿文件,运行
计划任务也可能进行自启动
勒索病毒wannacry
虚拟机里玩,虚拟机断网避免它横向移动
新的勒索病毒基本无解,老的勒索病毒一部分会有工具解密
这个网站上有Home | The No More Ransom Project
wannacry会按照后缀名将文档进行加密,bitcoin勒索
常见手段
计划任务
白加黑(dll等):可以用火绒剑分析
svhost命名:可以用火绒剑分析
bios引导
硬盘病毒
加钩子
引导性病毒
举例:bios和操作系统之间加锁
发送指令的工具:RWeverything,Bus hound,win11运行不了
硬盘病毒
修改硬盘中的处理器指令像计算机发送病毒,可以与引导性病毒结合,病毒先启动,可以先把杀软关了
病毒/恶意程序处理方法
看计划任务:autorun
火绒剑看进程,服务,网络,公司名(数字签名不可伪造)
看日志
看文件内容
virustotal查杀
工具推荐
进程监控:32位:systracer,64位:火绒剑,Procmon64
查看进程,网络,服务签名ark:火绒剑
看自启动计划任务:autorun
看日志:系统自带