蓝队应急篇 | 多情况木马感染清理

admin 2024年11月20日22:27:32评论9 views字数 925阅读3分5秒阅读模式

安全君呀设为"星标️"

第一时间收到文章更新

声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。

文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。

一、未知木马感染分析手动清理方法

(一)分析

首先通过Process Explorer软件发现Spoler.exe 进程没有标明Description,指向C:WINDOWSsystem32Spoler.exe

蓝队应急篇 | 多情况木马感染清理

而且在Autoruns上发现Print Spoler 进程没有指明Publisher,而且与指定的运行文件信息不符:

蓝队应急篇 | 多情况木马感染清理

查看Spoler.exe信息:

蓝队应急篇 | 多情况木马感染清理

查看Wsyscheck软件,没有发现镜像劫持:

蓝队应急篇 | 多情况木马感染清理

查看TCPView软件发现,Spoler.exe进程隔一段时间就会自动运行:

蓝队应急篇 | 多情况木马感染清理

可以确定该木马可以自动运行。

Spoler.exe进程在注册表中设定值为HKLMSYSTEMControlSet001ServicesPrint SpolerMarkTime

蓝队应急篇 | 多情况木马感染清理

(二)手动清理

通过上面分析中的结果可知,Spoler.exe进程在注册表中设定值为HKLMSYSTEMControlSet001ServicesPrint SpolerMarkTime

蓝队应急篇 | 多情况木马感染清理

该木马是通过修改注册表设定值后,通过注册表定时启动自身进程,所有我们可以通过删除该注册表设定值,去除它的自启动功能:

蓝队应急篇 | 多情况木马感染清理

再结束该进程,不再自启动:

蓝队应急篇 | 多情况木马感染清理

删除Spoler.exeSpoler_raw.anlSpoler_text.anl文件:

蓝队应急篇 | 多情况木马感染清理

重启,发现Spoler.exe进程不再启动:

蓝队应急篇 | 多情况木马感染清理

至此完成清理。

二、灰鸽子木马清理手工清除方法和步骤

首先用Winsys.exe查看木马详细信息:

蓝队应急篇 | 多情况木马感染清理

发现是普通的远程控制文件,对注册表进行修改:

蓝队应急篇 | 多情况木马感染清理

通过TCPView查看到svch0st.exe运行的进程情况:

蓝队应急篇 | 多情况木马感染清理

通过Process Explorer查看到,svch0st.exe正在运行:

蓝队应急篇 | 多情况木马感染清理

通过Autoruns查看到,没有发现镜像劫持文件:

蓝队应急篇 | 多情况木马感染清理

通过Process Explorer软件结束该进程:

蓝队应急篇 | 多情况木马感染清理

查看灰鸽子:

蓝队应急篇 | 多情况木马感染清理

自动下线,重启系统后木马没有启动,至此木马清除完毕。

原文始发于微信公众号(安全君呀):蓝队应急篇 | 多情况木马感染清理

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月20日22:27:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝队应急篇 | 多情况木马感染清理https://cn-sec.com/archives/3409836.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息