安全工具的使用总结

admin
admin
admin
102620
文章
87
评论
2024年4月1日10:53:38评论15 views字数 2036阅读6分47秒阅读模式

一、Process Hacker

1.1、简介

       Process Hacker是一款针对高级用户的安全分析工具,它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。

1.2、应用场景

1、怀疑系统有病毒需要进行进程分析以及网络等行为分析;

2、需要处置已知的恶意程序或者进程。   

1.3、下载地址

安全工具的使用总结

下载:https://processhacker.sourceforge.io/webshellki

1.4、功能分析

14.1、进程、服务和网络查看

①按照CPU从大到小排序,很有可能查看挖矿病毒;

安全工具的使用总结

②查看问题PID是否有注册服务;

安全工具的使用总结

③远程地址,端口号查看,可查看相关的病毒,如勒索病毒的445端口。

安全工具的使用总结

注:默认配置下,会在Processes标签页中以树形图的形式显示所有当前正在运行的进程列表进程:标识符(PID);-CPU使用占比(CPU);-I/O总速率;-私有字节;-运行进程的用户名;-进程简单描述。

1.4.2、单个进程处理

(1)一般常用:

Terminate(终止进程)

Terminate Tree (结束整个进程树)

Properties(进程具体信息)

安全工具的使用总结

注:

①Terminate 和Terminate Tree区别是对于有父进程守护的病毒,单独杀死子进程后父进程会生成子进程,所以建议使用Terminate Tree结束整个进程树。

②如果父进程是svchost等系统进程就要注意了,不能随意结束父进程否则可能会导致系统崩溃。

安全工具的使用总结

(2)Properties说明

查看进程具体的Properties信息,里面包括进程路径,内存加载的文件等各种信息。

安全工具的使用总结 安全工具的使用总结

二、 Autoruns

2.1、简介

      Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件,它能用于显示在 Windows启动或登录时自动运行的程序,并且允许用户有选择地禁用或删除它们。

2.2、使用场景

1、病毒查完完后经常由于某种原因重新启动;

2、平时检查是否存在可疑的自启动程序或者相关服务。

2.3、下载

安全工具的使用总结

地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns

2.4、功能说明

2.4.1、winlogon(开机启动)

安全工具的使用总结

注:系统开机后会自动启动的程序,一般的病毒会通过开机启动项winlogon进行恶意程序持续启动。

2.4.2、Scheduled Tasks(计划任务)

安全工具的使用总结

注:定期的计划任务可以使恶意程序定期启动。

2.4.3、services (系统服务项)

安全工具的使用总结

注:恶意程序注册成为服务后在被任务管理器结束进程后又可以被父进程拉起来持续运行,甚至一定程度上躲避杀毒软件。

2.4.4、Logon(登录项)

安全工具的使用总结

注:某个用户登录的时候触发恶意程序启动,这种一般是写入注册表的。

2.4.5、WMI(Windows管理组件)

安全工具的使用总结

注:WMI管理组件干任何事情,如定期启动,网络连接等操作,是挖矿病毒等隐藏自身的常用方式,查杀的时候需要重点关注。

2.4.6、Everything(所有相关内容)

安全工具的使用总结

三、D盾

3.1、简介

       D盾防火墙专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全!

3.2、使用场景

1、怀疑网站服务器被黑(如发现被挂了黑链,上传了恶意文件),需要进行网页木马(webshell)查杀;

2、上防火墙等安全设备前对服务器进行查杀确保服务器在上防火墙前没有被黑,保证防火墙的防护效果;

3、一句话免疫,主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异形脚本防御等等。

3.3、下载

安全工具的使用总结

D盾下载:http://www.d99net.net

3.4、功能说明

3.4.1、主要功能

webshell查杀与处置

安全工具的使用总结 安全工具的使用总结

注:

①查杀级别越高,木马可能性越大;

②删除后的文件会进入隔离区;

③即便是级别5的文件,建议每个文件去查看,如果自己不能确认可以让客户帮忙查看是否是业务系统文件,访问是否正常,得到客户确认才能删除。

3.4.2、辅助功能

①端口查看

安全工具的使用总结

②进程查看

安全工具的使用总结

③文件监控

安全工具的使用总结

1、把需要监控的目录写到监控目录栏目中并启动监控;

安全工具的使用总结

2、在监控目录下面修改文件;

安全工具的使用总结

3、在文件监控中查看。

④克隆账号检测

1、克隆账号检测需要以管理员身份运行D盾;

安全工具的使用总结

2、点击【工具】--【克隆账号检测】可以查看是否被黑客新建了用户。

总结:以上仅仅是在工作中常用的几款工具,可能还会使用网络行为分析工具如Tcpview、process_monitor,抓包工具wireshark、专杀工具反僵尸网络等等。另外在处理过程中可能不仅仅使用一种工具,而是多种工具的使用集合。

原文始发于微信公众号(菜鸟小新):安全工具的使用总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月1日10:53:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全工具的使用总结http://cn-sec.com/archives/2618816.html

发表评论

匿名网友 填写信息