Windows应急响应-Auto病毒

news/2024/12/31 1:32:22/文章来源:https://www.cnblogs.com/dhan/p/18448168

目录
  • 应急背景
  • 分析样本
    • 开启监控
    • 感染病毒
    • 查看监控
    • 分析病毒行为
      • autorun.inf分析
      • 2.异常连接
      • 3.进程排查
      • 4.启动项排查
  • 查杀
    • 1.先删掉autorun.inf文件
    • 2.使用xuetr杀掉进程
    • 3.启动项删除
    • 重启排查
      • 入侵排查正常流程

应急背景

运维人员准备通过windows共享文档方式为公司员工下发软件安装,开启完后忘记关闭了,而且其他人可以对共享文件夹下的文件进行删除替换修改,有恶搞的人就通过共享文件夹的方式,捆绑了病毒在一些文件中,导致公司员工下载安装的时候中了病毒。
症状如下图,右键盘符出现Auto
在这里插入图片描述
上网查发现是auto病毒,首要特征就是盘符下存在autorun.inf文件,待会分析就会发现这个文件,而且每次双击盘符都会根据autorun.inf文件重新运行文件中指定的程序文件,也就是说会重新感染一次病毒。

分析样本

在共享文件夹中拿到样本后先丢到虚拟机对样本进行行为监控,看下一具体做了什么手脚。
监控工具使用D盾
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott


开启监控

D盾可以打开文件监控,主要看病毒做了什么,重点看创建了什么文件
在这里插入图片描述
就这就可以启动监控了
在这里插入图片描述

感染病毒

把病毒样本丢进虚拟机,记得把虚拟机网卡模式设置成仅主机模式,避免有的病毒把物理机也感染了。
在这里插入图片描述

查看监控

双击后很明显看到有两个诡异的文件被创建了

线索卡:
1.c:\\autorun.inf
2.c:\\system32\dllh0st.exe

在这里插入图片描述

分析病毒行为

autorun.inf分析

首先查看一下autorun.inf文件,右键打开盘符,这里也可以看到确实是已经感染了病毒了
在这里插入图片描述
看到c盘没看到就知道肯定是做了文件隐藏了,只能上工具了
由于本次实验使用的是WinServer2003,能够使用XueTr,在分析查杀过程就直接上XueTr了。
XueTr工具下载地址:
https://pan.baidu.com/s/1ZT-80vNkQs6gWOuvLAxTcg?pwd=d55s
在这里插入图片描述
我们选择将文件拷贝出来
在这里插入图片描述
查看文件内容,我们要知道autorun.inf的作用是:允许在双击磁盘时自动运行指定的某个文件 ,那也就是说双击盘符就会再次感染病毒,可以看到这个文件是在C:\\Windows\System32文件夹下,那就印证了我们d盾监测到的行为,确实没错。
在这里插入图片描述
但是这里是DLLHOST.exe,不是d盾中写的dllh0st.exe,具体原因不知道,但是还是以DLLHOST.exe为准,因为是病毒对应的文件。
修改线索卡↓

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe

2.异常连接

没有发现对外连接的异常
在这里插入图片描述

3.进程排查

打开进程管理查看,有大写的DLLHOST,这个已经确认了是病毒了,但是小写的dllhost进程我们也不打包票是正常,但网上也能查到这个文件是系统原本就有的,所以就先关注大写的进程。
在这里插入图片描述
查看一下进程对应服务,没有发现异常服务,就只有一个进程运行

tasklist /svc | findstr "4036"

在这里插入图片描述
那么就上工具进行分析了

查看进程模块就确认了确实是病毒,只有一个异常进程模块。
在这里插入图片描述
后面就继续看另外的dllhost,也没有发现异常
然后这里是要跟进进程文件的,或者看进程对应的文件路径,这里忘记截图了,显示的是DLLHOST.exe。

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe

4.启动项排查

xuetr打开启动项就看到病毒创建的启动项了
在这里插入图片描述
打开注册表查看,同样发现有写入注册表

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.启动项
4.注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

在这里插入图片描述

查杀

分析完毕,根据拿到的线索开始查杀

线索卡:
1.c:\\autorun.inf
2.c:\\system32\DLLHOST.exe
3.启动项
4.注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

1.先删掉autorun.inf文件

打开盘符记得使用右键,然后打开,不要直接双击,否则会再次感染一遍
在这里插入图片描述
没有发现文件,之前分析的时候也说了,文件被隐藏了,只能用xuetr工具进行删除
在这里插入图片描述
像病毒相关的这种文件,最好先勾选删除文件且阻止再生->然后再次右键强制删除
在这里插入图片描述

2.使用xuetr杀掉进程

这里我观察到他是删掉我dllhost文件夹下的DLLHOST.exe,也就是我复制进来的病毒源删除了,没有把system32那个文件夹下的文件删除掉,这里简单分析一下可以知道是掩耳盗铃,我们重启后就会自动找到system32那个文件,因为进程重启后会重新运行,启动项对应的DLLHOST都是对应着system32那个文件夹下的程序文件。
在这里插入图片描述
所以我们要去c:\\system32\DLLHOST.exe下进行删除,但是这个进程对应的文件是DLLHOST.exe,文件也是被隐藏了的,所以还是要用专业工具进行删除
在这里插入图片描述

3.启动项删除

先定位到注册表
在这里插入图片描述
因为不知道load时不时系统自带的目录项,所以这里最好是删掉值即可
在这里插入图片描述
在这里插入图片描述
接着回到启动项查看,发现已经不见了,如果还在DLLHOST的话就需要删除。
在这里插入图片描述

重启排查

现在打开盘符已经没有auto了,可以正常双击盘符进入
在这里插入图片描述

入侵排查正常流程

首先对之前病毒操作了的行为进行再次排查\

  • 进程无异常(DLLHOST)
    在这里插入图片描述

  • c:\\Windows\System\DLLHOST.exe不存在
    在这里插入图片描述

  • 启动项,正常(注册表正常)


接着其他的入侵排查了

  • 异常连接(netstat -ano)
  • 账户排查(net user)
    直接用d盾看了,这里还可以去注册表看有没有隐藏账户
    在这里插入图片描述
  • 服务排查
  • 定时任务

应急完成,本次算是对病毒应急的一次小小的了解,auto病毒也很久了,主要是通过u盘传播,因为有的人他会插上u盘后就双击打开,那么这时候就会感染上病毒了,所以通过本次实验要提高警戒,u盘平时最好还是右键打开的方式进入比较安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/808578.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

帝国cms后台admin帐号密码忘记的处理方法

5.1 至 7.0 版本登录 phpMyAdmin访问 http://yourdomain.com/phpmyadmin。 输入数据库用户名和密码登录。选择帝国CMS 安装所在的数据库在 phpMyAdmin 主界面中,找到并选择帝国CMS 使用的数据库。找到 phome_enewsuser 表在数据库中找到名为 phome_enewsuser 的表。 单击该表以…

[OI] 树链剖分

学的时候比较朦胧,现在不朦胧了,所以写一下 讲解 重儿子:一个节点的子树大小最大的儿子 轻儿子:非重儿子 重链:节点 -> 重儿子 -> 重儿子 .. 这样的链A beautiful Tree蓝线为重链可以发现,树上的所有节点一定属于且仅属于一个重链 首先要知道如何找重链 这很简单,…

忘记帝国cms网站后台登录密码和认证码如何找回

1. 准备重置脚本下载附件:下载提供的重置脚本文件。 将文件上传到网站根目录。2. 访问重置页面访问重置页面:访问 /e/update/resetuser.php。 默认密码为 123456,也可以在 resetuser.php 中修改这个密码。3. 重置密码输入密码:输入默认密码 123456。 跳转到重置密码页面。 …

Golang安全开发第一节

Golang安全开发 一、安装Go&编译器基础使用 1. 安装包地址 https://golang.google.cn 2. 添加环境变量 windows 直接点击msi安装即可 Linux tar -zxvf xxx.xxx.xxx.tar.gz mv -r go /use/local/go vim /etc/profile export PATH=$PATH:/usr/local/go/bin source /etc/profi…

帝国CMS重置后台登录密码方法,帝国CMS后台登录密码忘记的解决方法。

适用版本帝国CMS 7.2 及 7.5 版本操作步骤登录服务器登录到您的服务器,确保您有访问数据库的权限。找到帝国CMS数据库使用 phpMyAdmin 或其他数据库管理工具登录到您的数据库。打开 phome_enewsuser 数据表在数据库中找到 phome_enewsuser 表(phome 为默认表前缀,请根据实际…

如何恢复遗忘的帝国CMS管理员密码?

方法一:通过phpMyAdmin重置密码 适用版本:帝国CMS 5.0及以下版本操作步骤:登录phpMyAdmin:访问您的服务器上的phpMyAdmin界面,通常地址为 http://yourdomain.com/phpmyadmin。 输入数据库用户名和密码登录。选择正确的数据库:在phpMyAdmin主界面中,找到并选择帝国CMS使用…

忘记帝国CMS后台密码,重置帝国CMS后台密码

1. 忘记后台管理员账号怎么办?解决步骤:使用 phpMyAdmin 查看数据库中的 phome_enewsuser 表。 在 username 字段中查找您的管理员用户名。2. 忘记后台登录密码怎么办? 帝国CMS 5.0 及以下版本解决步骤:通过 phpMyAdmin 访问数据库中的 phome_enewsuser 表。 将 password 字…

帝国管理系统忘记后台账号和密码怎么办?

如果你忘记了帝国网站管理系统的后台账号和密码,可以通过以下几种方法来解决这个问题: 方法 1: 通过数据库重置密码登录数据库使用 phpMyAdmin 或 MySQL 命令行工具登录到数据库。查找管理员用户表查找管理员用户的表,通常为 ecms_admin 或 ecms_user。更新密码更新管理员用…

帝国如何解决帝国CMS管理员忘记密码的问题

创建临时脚本创建一个临时 PHP 脚本来重置密码。例如,在 e 目录下创建一个 reset_password.php 文件:php<?php require_once(./class/connect.php); require_once(./class/config.php); require_once(./class/function.php);$admin_id = 1; // 管理员 ID $new_password =…

帝国CMS管理员密码忘记的解决方法

如果你忘记了帝国CMS的后台登录账号和密码,可以通过以下几种方法来解决这个问题: 方法 1: 重置管理员密码(通过数据库)登录数据库使用 phpMyAdmin 或 MySQL 命令行工具登录到数据库。查找管理员用户表查找管理员用户的表,通常为 ecms_admin 或 ecms_user。更新密码更新管理…

帝国cms忘记登陆账号密码怎么办

如果你忘记了帝国CMS的后台登录账号和密码,可以通过以下几种方法来解决这个问题: 方法 1: 重置管理员密码(通过数据库)登录数据库使用 phpMyAdmin 或 MySQL 命令行工具登录到数据库。查找管理员用户表查找管理员用户的表,通常为 ecms_admin 或 ecms_user。更新密码更新管理…

用自定义函数解决帝国cms的简介截取字符时出现html的问题

帝国CMS 在截取文章简介时出现 HTML 标签的问题可以通过自定义函数来解决。具体步骤如下: 步骤 1: 自定义函数 NoHTML()打开 connect.php 文件找到 e/class/connect.php 文件并打开。添加自定义函数 NoHTML()在文件中添加以下函数:// 去除 HTML 标记 function NoHTML($string…