记录应急常用的攻具和技巧,工具包含进程查看查杀工具和webshell查杀工具。
0x00 操作系统级
推荐两款操作系统查看危险进程的工具:PChunter、Powertool
PChunter
界面图:
入门使用
- 1、对着进程单击鼠标右键,菜单中选择“校验所有数字签名”,PC Hunter会以不同的颜色显示不同种类的进程。
#进程颜色备注
1、数字签名是微软的进程:黑色
2、数字签名非微软的进程:蓝色
3、微软的进程,如果有些模块是非微软的:土黄色
4、没有签名的模块:粉红色
5、可疑进程,隐藏服务、被挂钩函数:红色
- 2、检查所有非黑色进程
1、校验数字签名:查看进程数字签名是否通过微软认证 2、定位到进程文件:查看文件路径是否可疑,如是否在临时文件夹,一定要注意是否存在于文档及ProgramData等位置 3、查看进程文件属性:用于查看进程文件的详细信息、数字签名等属性 - 3、进程安全识别,对于无法确定的进程可通过复制进程名用搜索引擎查找相关信息或者请教有经验的大牛。
- 4、一旦确认该进程为病毒进程,在右键菜单中,选择“强制结束进程并删除文件”解决掉病毒进程,再去着手清理注册表以及删除病毒文件等进一步的工作了。
说明
这只是pchunter的入门使用,还有其他更高深的使用方法,可自行研究,如有发现更好的使用技巧欢迎与本人分享!powertool
非常强大的一款与软件!推荐使用!
界面图:
说明:可以显示可疑驱动,显示进程的类型包括生产厂商。
脑图
详细功能如下:- 所有进程的枚举(包括内核中隐藏的进程)
- 所有文件的枚举(包括内核中隐藏的文件)
- 进程中所有模块的枚举(包括内核中隐藏的模块)
- 进程的强制结束
- 进程中模块的强制卸载
- 模块被哪些进程加载的检索
- 查看文件/文件夹被占用的情况
- 可以 Unlock 占用文件的进程
- 文件/文件夹的粉碎(可强删 Unlocker1.8.9/金山/超级巡警文件粉碎机无法删除的顽固文件)
- 阻止文件粉碎后用还原软件还原(采用美国国防部DOD 5220.22-m标准阻止文件还原)
- 用磁盘解析技术检索硬盘数据
- 内核模块和驱动的查看和管理
- 启动项的查看和管理
- 系统服务的查看和管理
- 集成文件粉碎功能到系统右键菜单
- 消息钩子的查看和卸载
- SSDT/Shadow SSDT 钩子的查看和卸载
- 各种内核回调的查看和卸载
- 多国语言版本的对应(中文和英文)
- 暂停进程运行和恢复进程运行
- 进程模块的内存的dump
- 进程的线程的查看和结束
- 进程的窗口的查看和控制
- 进程的定时器的查看和摘除(该功能还没对应Windows2003)
- 内核定时器的查看和摘除
- 上传文件在线扫描病毒
- 查看和摘除用户层的钩子
- 查看和结束内核线程
- 关机回调的清除
- 查看和摘除mini文件驱动
- 系统恢复功能(检测项目包括注册表关键部位,已安装的杀毒软件、AutoRun文件、Windows漏洞检测、共享文件夹)
- 流氓快捷方式的检测和删除
- 镜像劫持的检测和删除
- 文件关联的检测和删除
- IE相关的检测和删除
- FSD Hook的检测和删除
- Object Hook的检测和删除
- 部分CPU/硬盘/显卡/主板的温度检测
- 部分硬件信息的确认
- 修复漏洞功能,可以下载和安装Windows补丁
- IDT钩子的检测和恢复
- 禁止进城创建,新建文件,注册表修改等配置
- 注册表功能,几乎可以无视一切隐藏注册表的钩子
- SPI的检测
- 通过磁盘解析进行文件浏览
- 文件强制拷贝功能,可拷贝网络视频的缓存文件
- 通过磁盘解析取得和拷贝ADS流文件
- 添加和查看文件重启删除信息
- Disk/Atapi驱动钩子的检测和恢复
- 进程权限的枚举和摘除
- 检测键盘侦听软件
- 检测被监视的文件
- IO定时器的检测和停止
- 工作列线程的检测和暂停
- FAT32格式的磁盘解析
- 新增MBR的检测和修复(可对抗鬼影等Bootkit和MBR Rootkit)
- 新增检测被替换的或被感染的内核文件(内核文件劫持)
- 支持多硬盘的MBR检测和恢复
- 新增可疑设备的检测和清除
- 支持离线的启动项和服务的检测和删除
- 新增注册表和服务的强删功能
- 所有进程的枚举(包括内核中隐藏的进程)
0x01 WEB层
web方面的应急主要是查杀webshell,用D盾或者把源码备份下来用360安全卫士扫扫就好了,基本上大部分的webshell都能查出来。
–学习过程中会不断补充笔记!