实际删除恶意代码_病毒安全_

阅读：9,166

实际清除恶意代码什么是恶意代码，指令集？是二进制可执行指令吗？还是脚本语言？文字处理宏语言？其他指令集等...以常见类型为例。如果服务器具有恶意代码，则Windows系列计算机的恶意代码通常是指病毒，蠕虫和木马后门。 Linux系统机器的恶意代码通常是rootkit。

因此，如何快速确定您的Web服务器中是否存在恶意代码，是由Web端问题，内部网络渗透还是将恶意代码植入跳板，肉鸡等引起的；如何通过手工或工具快速删除恶意代码，对代码进行加固，加固系统加固，防止下次入侵引起的问题。

NSFOCUS博客邀请了安全服务团队的安全工程师以一个实际案例开始，以解释如何手动删除恶意代码。现在已知服务器无法正常运行，我们需要解决该服务器的所有问题。

查看系统日志

前提是已激活服务器的日志策略和审核策略。

系统日志

查询日志后，可以发现攻击者已经从TerminalService端（即远程桌面）进行了多次登录尝试，并且出现了大量状态相同的日志，即进行远程暴力攻击强制猜测。由于登录失败次数的限制，攻击者猜测真实密码的时间被延迟。

如何执行恶意程序

通过查看系统计划任务，可以发现攻击者使用了较旧的计划任务方法来执行木马程序。

检查计划任务的属性，您可以找到Trojan文件的路径。

执行1

执行2

执行3

木马文件的名称与svchost.exe文件的名称相似，该文件令人困惑，属于常规隐藏方法。查询后，可以知道svchsot.exe是与Troj / GWGhost-O相关的程序，即该木马的主要组件。

继续跟踪痕迹

此外，缓慢地跟随入侵者的脚步，可以看出攻击者的动作远远超过此。

跟踪1

在预取文件夹下，预取目录是用于系统启动的预读文件。您可以看到xiaoma和肉鸡工具。检查创建时间，发现服务器是几天前甚至更早使用的。 ，但尚未找到。

文件

此外，发现有一些.pf文件。显然，攻击者希望在系统运行时成为肉鸡。反向搜索是根据系统开始引诱敌人的预读文件.pf的文件名进行的。

PF文件

可以发现，在系统目录中，有一个指向.pf文件的链接，该链接指向该文件。显然，此方法用于引导和加载，以便服务器在打开时变成工具。这真的是一个长期的钓鱼。

单击并单击

检查进程，可以从正在运行的进程中查找系统中的问题；

任务管理器

总结以上情况，在寻找恶意代码的过程中，旨在根据各种方法查看系统信息。根据收集到的信息，确定恶意代码的位置和触发方式，删除恶意代码执行文件，并检测恶意代码附件是否影响系统启动项，系统文件等？删除与恶意代码有关的可执行文件，服务，链接等。如果可能的话，最安全的操作系统重装当然非常好。

要对服务器系统的问题进行故障排除，我们需要检查进程，服务，启动项，网络连接，挂钩等，并在基于服务器的时间节点查看系统信息时关注时间。安全事件。如果可能的话，可以使用该时间点作为线索来关联和分析该节点之前和之后的日志事件和系统信息，从而找出入侵者的思路和操作步骤。这里还推荐一些常用的小型工具，这些工具可以帮助我们更好地获取不同类型的系统信息，从而掌握系统跟踪并发现问题。

迹线1：处理

推荐的小工具：过程探索

过程探索

查看可疑进程及其子进程。您可以观察以下内容：

迹线2：文件

推荐方法：按日期排序并检查敏感系统目录文件的更改。

第三步：启动项

推荐的小工具：自动运行

自动运行

此小工具可以查看系统的启动项，并可以解释大多数启动项，并显示调用注册表的路径。同时，它还可以运行一些常见的木马，BHO项目，计划任务，镜像劫持等进行检查和检测。一般判断标准是该项目是否具有注释，它是否是可疑的公共组件，是否不是管理员添加的项目等。

迹线4：全面分析

推荐的小工具：冰剑

冰字

Iceword更强大。它可以检测到隐藏的进程并将其标记为红色，这对我们来说很方便。同时，它还可以检测并观察未描述或陌生的端口，服务，注册表，文件，线程等。可疑选项名称是逐个手动检查的。

结束

检测恶意代码的过程是一个非常有趣的过程。与入侵者的想法背道而驰，这就像恢复现场，及时返回，添加推理和分析，不遗漏任何线索一样。我相信我喜欢侦探小说。在您当中，您会喜欢恶意代码检测和探索的过程。

英语版本：

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-345209-1.html