本帖最后由 新手107995 于 2020-9-14 16:55 编辑
1.简介 1.1写文背景:最近备考SCSP,有道题问everthing在处理勒索病毒的作用是什么,答案是分析文件被加密的时间,而我选的是搜索到加密文件。我的理解中觉得搜索加密文件也是处理病毒的环境之一,通过其加密的特征(后缀)整理出被加密的文件,也可以查清哪些文件是被针对性加密的;但分析文件加密时间也处于这个过程中,可以判定病毒是否仍在继续活动,可以看到文件修改时间来看是否已成功隔离……
1.2简述一下everything everything工具是一个第三方的文件搜索工具,体积非常非常小,占用性能少,搜索能力与速度强大,有正则表达式、或、识别空格,还能进行共享,除了在对勒索病毒问题分析时有作用,平时也是非常有效的办公工具
由于everything占用内存特别少,所以在后台启用也不用担心造成什么卡顿,这里大概也就80M左右
everything有中文版,路径在选型中,语言可以修改,也可以直接下载中文版
2.使用 2.1主界面 界面很简洁,一目了然,搜索栏、文件名、文件路径、文件大小、修改时间 2.2视图 视图下拉栏里的功能非常强大 【图标】举个例子,如对图片的搜索可以使用pic:: 由于文件以详细信息的方式展示不便于整理图片,可以在视图处进行改变 【筛选器】在视图中开启筛选器,可以在搜索栏右侧有一个文件类型的筛选,便于过滤、精确查找 【预览】预览是很出乎我意料之外的一个功能,在视图中开启以后,点击文件,无需打开,便可快速预览内容 常见的txt就不必多说了,连配置文件ini、头文件.h……这些偏底层一些的文件都可进行预览 还支持html、xml、pptx、doc…… 【排序】everything的排序类型比较多,我本以为响应速度是否会比较慢(应该也取决于电脑性能),出乎意料的是应该在毫秒级就处理完结果,这里展示了一下按照大小排序,除去本身界面上有的名称、路径、大小、修改时间排序以外,也可以使用视图——排序——选择想要的进行结果处理
2.3搜索 【语法——高级搜索】搜索语法的这里就不详细去介绍了,可以查看官方文档,我比较用的多的是直接使用高级搜索 可以在指定文件夹中去搜索特定短语,以及加上与、或之类的关系进行筛选搜索 【指定文件夹】 【必含单词】 【或关系】这里使用空格隔开zip和exe,可以将这两种单词包含的文件都一起呈现,在搜索栏中是使用|作为或的,与的话不是&这种编程语法,是用空格隔开就可以了,一般是或比较常用
3.注意事项 正因为有HTTP、FTP功能,这些在不安全的网络下启用功能是非常危险的,以前everything有爆出过大安全问题,也就是这个功能导致的,所以建议一般不用就别开启,除非能保证自己局域网内网络安全
4.勒索病毒实用 由于勒索病毒加密文件并不一定只在一处路径,由此everything可以快速查询出被加密的文件,通常都是同样的一个后缀名(可以有多个),并且可以确定加密时间的开始(确定时间溯源),也可以协助监控病毒是否仍处于活动中(最后修改时间) 由此我认为按照顺序来看是“先找加密文件,再分析文件加密的时间进行溯源”,所以这俩答案其实都处于这个过程中,只是一个是前提,一个是目的,如果想要强调目的,放一个无可厚非的答案进来着实有点蛋疼 (这里借了一下 @霸气你蕾哥 的图展示)
如果我的展示图中有容易暴露隐私的地方麻烦提醒下哈,粗略看了一下似乎没什么内容 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-9-14 18:03
发表于 2020-9-14 18:07
技术员2级 
