5�、WMIC工作列表(WMIC Job List)
這是個(gè)看起來最不可能發(fā)現(xiàn)任何東西的項(xiàng)目,因?yàn)榻^大多數(shù)惡意軟件都不用jobs�����,但是在例如MPlug的一些版本中����,是很容易檢測出的�。輸入【wmic job list full】�,你能夠獲得一個(gè)【沒有可用實(shí)例】的回執(zhí),這就意味著沒有已安排的項(xiàng)目在執(zhí)行����。
6、Netstat
莫忘記基礎(chǔ)�,如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的,輸出可能需要搜索來查看��,即使這樣可以還是尋找奇異的外部站點(diǎn)端口號碼���,如25�����、8080����、6667等等��。
Netstat控制如下:
-a 顯示所有連接和監(jiān)聽端口-b 顯示參與創(chuàng)建每個(gè)連接或者監(jiān)聽端口的可執(zhí)行文件-n 以數(shù)字形式顯示地址和端口號碼-o 顯示擁有的每個(gè)與鏈接相關(guān)的進(jìn)程ID7���、批處理文件版本
用一種簡單可重復(fù)的方式完成這些WMIC東西并生成一份報(bào)告�,怎么樣呢�����?我已經(jīng)有了���。把東西都丟到一個(gè)批處理文件中���,然后設(shè)置一個(gè)主機(jī)名參數(shù),你甚至能夠在全網(wǎng)中使用它——獲得其他計(jì)算機(jī)的適當(dāng)權(quán)限�����,方便進(jìn)行遠(yuǎn)程評估���。
這個(gè)腳本可以讓你更清楚的了解HTML格式的輸出�,其中包括了你從電腦中獲取的信息:
wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:triage-%1.htmlwmic /node:%1 startup list full /format:htable >> c:triage-%1.htmlwmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:triage-%1.htmlwmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:triage-%1.htmlwmic /node:%1 job list full /format:htable >> c:triage-%1.html
小編推薦閱讀
