介绍
当服务器被攻击后,基本都会留下后门,木马程序等,维护人员就需要找到他们并清除。 而对于木马后门,都需要有一个加载选项,例如直接以程序文件的形式运行,插入其他进程中运行,以服务的形式加载,以activex控件形式加载等。
随后木马病毒肯定会访问网络,从我们检查角度一般需要对运行的进程、启动的加载项、端口连接等方面进行。
Autoruns可以查看加载在启动、activex、explorer、logon、services等中的木马程序。
使用
打开autoruns后会看到everything栏,此栏列出了自动启动项,如下图。
木马程序是没有数字签名的,我们可以多关注其description和publisher栏,如果都为空,而又不确定是否为木马程序,则可以选中右键search online进行在线搜索,个人认为如果搜索没有相应的名称结果,则木马可能性比较大,毕竟攻击者随意为木马取个名称是搜不出的。
切换到logon栏列出了登录加载项,查看和排除方式与everything类似。
其他选项也类似,autoruns对于木马常用的加载都有列出,everything启动加载,logon登录加载,explorer windows管理器加载,ie浏览器加载,scheduled tasks定时任务加载,services服务加载,drivers设备加载等。
确认木马病毒后可右键选择删除。
总结
通过autoruns检查木马程序,主要通过文件是否有数字签名,在公司和描述栏中是否有相应的内容,以及程序的物理路径等信息来判断是否为木马程序。
网络攻防知识星球推荐,欢迎加入。
圈内会分享关于信息搜集、web渗透、内网安全、代码审计等东西,另外物联网安全也是趋势,我们平时的学习资料总结都会进行分享。
整体来说就是网络攻防这个大层面,或者说是网络安全,在这里我们创建一个纯净的技术交流平台,和密圈内的兄弟一块交流学习。
来源:CSDN
作者:发哥微课堂
链接:https://blog.csdn.net/fageweiketang/article/details/103482971