- 惡意軟體移除教程
- 惡意軟體移除 - 首頁
- 惡意軟體移除 - 概述
- 惡意軟體移除 - 工作原理
- 惡意軟體移除 - 型別
- 檢測技術
- 移除準備
- 惡意軟體移除 - 流程
- 惡意軟體移除 - 保護
- 惡意軟體移除 - 移除工具
- 惡意軟體移除資源
- 惡意軟體移除 - 快速指南
- 惡意軟體移除 - 資源
- 惡意軟體移除 - 討論
惡意軟體移除 - 移除準備
惡意軟體會依附於程式,並利用某些事件傳播到其他程式。它們需要這些事件發生,因為它們自身無法啟動,無法使用不可執行檔案自我傳播,也無法感染其他網路或計算機。
為了準備移除階段,我們首先應該瞭解惡意軟體正在使用哪些計算機程序以便終止它們。它們使用了哪些流量埠以便阻止它們?與這些惡意軟體相關的檔案是什麼,以便我們有機會修復或刪除它們?所有這些都需要一些工具來幫助我們收集這些資訊。
調查流程
根據上述結論,我們應該知道,當某些異常程序或服務自行執行時,我們應該進一步調查其與可能存在的病毒的關係。調查流程如下:
為了調查程序,我們應該首先使用以下工具:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Listdll.exe 顯示所有正在使用的dll檔案。netstat.exe及其變數顯示所有正在執行的程序及其對應的埠。以下示例顯示瞭如何將卡巴斯基反病毒的程序對映到 netstat -ano 命令以檢視程序號。要檢查它屬於哪個程序號,我們將使用任務管理器。
對於 Listdll.exe,我們可以從以下連結下載它 – https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx,然後執行它來檢查哪些程序與正在使用的 DLL 連線。
我們開啟 CMD 並轉到 Listdll.exe 的路徑,如下圖所示,然後執行它。
我們將得到如下所示的結果。
例如,PID 16320 由dllhost.exe使用,其描述為COM Surrogate,在左側。它顯示了此程序顯示的所有 DLL,我們可以對其進行谷歌搜尋並進行檢查。
現在我們將使用 Fport,可以從以下連結下載 – https://www.mcafee.com/hk/downloads/free-tools/fport.aspx#,將服務和 PID 與埠對映。
另一個監控服務並檢視它們消耗多少資源的工具稱為“Process Explorer”,可以從以下連結下載 – https://download.sysinternals.com/files/ProcessExplorer.zip,下載後,您必須執行 exe 檔案,您將看到以下結果:
