2015年2月16日 星期一

[惡意程式追查]本機電腦異常基本分析方法(第二篇)

前言
在「主機異常連線與網路中繼站判斷」這篇中,有初步提及到從防火牆的日誌檔案,去追查異常的區域網路內的主機連線行為,而本篇,則是介紹,在本機輸入指令後,查詢異常的程式。

(1)在cmd視窗輸入「netstat -ano」指令

netstat -ano的指令,主要是查看目前在本機執行的程式有哪些,而且籍由該指令,我們可以查出電腦「當下」的本機位址,目前對外連線的IP、狀態、以及最重要的PID(process ID)


待查出異常的連線網址後,我們需記下當下的PID碼,例如1360

(2)開啟工作管理員視窗
點選檢視「選取欄位」


將「PID(處理程序識別碼)」的欄位勾選,開啟

接下來,當處理程序有PID欄位後,我們可以查看剛才的PID 1360,是哪個應用程式或程式在使用的,進而判斷該程式是否是異常的程式

(3)開啟工作視窗,輸入「msconfig」指令


從系統設定的功能中,在啟動的項目,可以看出,現有啟動區的應用程式有哪些,以及他的命令列功能,有時候惡意程式會常駐在啟動區,隨著系統開機後而自動啟動,因此,系統啟動項目也是需要檢查的地方

接著,在服務項目中,找尋現有執行中的程式有哪些,並初步排除啟動微軟的服務

小結
經由上述的基本操作方式和概念,我們可以利用windows的基本指令,來操作查看電腦異常的存取程式有哪些,排除正常的連線外,剩餘的程式就屬不正常的連線方式。

上述的基本操作,只能針對簡單的惡意程式,將惡意的執行過程寫入啟動區或沒隱匿完成,籍由這樣的檢查方式,查出異常的程式所在位置以及開啟的服務。

沒有留言:

張貼留言