本帖最后由 清风慕竹 于 2019-11-12 16:12 编辑
摘要:随着社会的发展,数据安全等越来越重要,作为一线的工程师经常会被客户询问挖矿病毒、勒索病毒等出现了应该如何去解决。现为大家提供这段时间学习的一些安全工具,希望能够对大家有帮助。 一、Process Hacker1.1、简介 Process Hacker是一款针对高级用户的安全分析工具,它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。 1.2、应用场景1、怀疑系统有病毒需要进行进程分析以及网络等行为分析; 2、需要处置已知的恶意程序或者进程。 1.3、下载地址 1.4、功能分析14.1、进程、服务和网络查看 ①按照CPU从大到小排序,很有可能查看挖矿病毒; ②查看问题PID是否有注册服务; ③远程地址,端口号查看,可查看相关的病毒,如勒索病毒的445端口。 注:默认配置下,会在Processes标签页中以树形图的形式显示所有当前正在运行的进程列表进程:标识符(PID);-CPU使用占比(CPU);-I/O总速率;-私有字节;-运行进程的用户名;-进程简单描述。 1.4.2、单个进程处理 (1)一般常用: Terminate(终止进程) Terminate Tree (结束整个进程树) Properties(进程具体信息) 注: ①Terminate 和Terminate Tree区别是对于有父进程守护的病毒,单独杀死子进程后父进程会生成子进程,所以建议使用Terminate Tree结束整个进程树。 ②如果父进程是svchost等系统进程就要注意了,不能随意结束父进程否则可能会导致系统崩溃。 (2)Properties说明 查看进程具体的Properties信息,里面包括进程路径,内存加载的文件等各种信息。 二、 Autoruns 2.1、简介 Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件,它能用于显示在 Windows启动或登录时自动运行的程序,并且允许用户有选择地禁用或删除它们。 2.2、使用场景1、病毒查完完后经常由于某种原因重新启动; 2、平时检查是否存在可疑的自启动程序或者相关服务。 2.3、下载
2.4、功能说明2.4.1、winlogon(开机启动) 注:系统开机后会自动启动的程序,一般的病毒会通过开机启动项winlogon进行恶意程序持续启动。 2.4.2、Scheduled Tasks(计划任务) 注:定期的计划任务可以使恶意程序定期启动。 2.4.3、services (系统服务项) 注:恶意程序注册成为服务后在被任务管理器结束进程后又可以被父进程拉起来持续运行,甚至一定程度上躲避杀毒软件。 2.4.4、Logon(登录项) 注: 某个用户登录的时候触发恶意程序启动,这种一般是写入注册表的。 2.4.5、WMI(Windows管理组件) 注:WMI管理组件干任何事情,如定期启动,网络连接等操作,是挖矿病毒等隐藏自身的常用方式,查杀的时候需要重点关注。 2.4.6、Everything(所有相关内容) 三、D盾 3.1、简介 D盾防火墙专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全! 3.2、使用场景1、怀疑网站服务器被黑(如发现被挂了黑链,上传了恶意文件),需要进行网页木马(webshell)查杀; 2、上防火墙等安全设备前对服务器进行查杀确保服务器在上防火墙前没有被黑,保证防火墙的防护效果; 3、一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异形脚本防御等等。 3.3、下载
3.4、功能说明 3.4.1、主要功能 webshell查杀与处置 注: ①查杀级别越高,木马可能性越大; ②删除后的文件会进入隔离区; ③即便是级别5的文件,建议每个文件去查看,如果自己不能确认可以让客户帮忙查看是否是业务系统文件,访问是否正常,得到客户确认才能删除。 3.4.2、辅助功能 ①端口查看 ②进程查看 ③文件监控 1、把需要监控的目录写到监控目录栏目中并启动监控; 2、在监控目录下面修改文件; 3、在文件监控中查看。 ④克隆账号检测 1、克隆账号检测需要以管理员身份运行D盾; 2、点击【工具】--【克隆账号检测】可以查看是否被黑客新建了用户。
总结:以上仅仅是在工作中常用的几款工具,可能还会使用网络行为分析工具如Tcpview、process_monitor,抓包工具wireshark、专杀工具反僵尸网络等等。另外在处理过程中可能不仅仅使用一种工具,而是多种工具的使用集合。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-10-14 09:33
技术研究员1级 
