• 一次木马的处理过程


    用UltraISO制作了一个U盘Windows Server2012安装盘,在安装过程中总是提示MBR分区表不能采用EFI安装盘。尝试用DiskGenenius转换MBR分区为GPT分区,但是每次都报错。于是下载了4.2版本的最新版,免费版不支持MBR转GPT操作,于是下载了注册机注册。注册机执行后没有任何提示,而且也没有变成PRO版本,于是考虑可能注册机是木马了。

    重启计算机后开机,系统有APP_CRASH,提示为“百度影音”,映像文件为explore.exe,明显是伪装的Explorer.exe。查看木马文件的日期,正式执行注册机的时间,于是断定为木马。查看木马文件explore.exe的路径,发现为

    "C:\WINDOWS\inf\打印机.{2227a280-3aea-1069-a2de-08002b30309d}\explore.txt:explore.exe",明显伪装了打印机的伪目录,用WinRAR尝试打开目录并命名,提示没有权限,查看伪目录属性,因为伪装打印机所以也无法删除。用Autoruns分析也没有发现有启动项,很是奇怪。既然不能删除文件,于是运行 gpedit.msc 在用户策略里面添加禁止运行的程序explore.txt:explore.exe

    用Process explorer查看,注意到explore.txt:explore.exe 进程打开的文件为 C:\Program Files\Common Files\microsoft shared\ink\10002985.840,尝试进入ink目录提示没有权限。 于是用Process Explorer将木马进程suspend,结果能进入ink目录了,然后删除840那个文件,新建一个同名文件并拒绝任何人读取,起到免疫作用。

    重启系统,发现木马没有运行。但是对于那个伪目录怎么删除,还有系统为什么每次都执行这个进程依然迷茫。有清楚的欢迎告知。

  • 相关阅读:
    Asp.Net根据角色验证
    牛客登录(四)
    外键约束
    update 和replace更新表
    每日一题力扣485
    牛客登录(6)开窗函数
    牛客登录(5)
    MySQL的UPDATE或DELETE中子查询不能为同一张表
    牛客登录(二)
    剑指offer:二分
  • 原文地址:https://www.cnblogs.com/flaaash/p/2970084.html
Copyright © 2020-2023  润新知