怎么查文件是不是病毒,木马,或者异常的!

shykx

文章最后更新时间:2023年12月06日

当遇到网吧出现盗号,或者封号什么的,可以先简单的查下客户机上的文件,用工具ProcessExplorer就可以看,客户机上C盘工具里一般都有的。

1.png

打开这个工具

2.png

如果没有数字签名的,觉的怀疑的,就右键这个进程文件-属性-浏览,可以到目录里找到这个文件,然后右键属性-数字签名-详细信息,如果显示此数字签名正常,那就是没有问题的。

3.png

如果是显示此数字签名无效的,就是有问题的了

怎么查文件是不是病毒,木马,或者异常的!

怎么查文件是不是病毒,木马,或者异常的!

看进程下的DLL文件,也是需要去看数字签名是不是正常,一个道理的。

6.png

  • 熟悉的系统进程有签名的一般不用去看的,直接看可疑的,没有签名的,在按照上述方法查下。


  • 去查可疑的文件,其实方法很简单,就是看文件的数字签名是不是合法的,数字签名就好像是我们每个人的身份证一样,简单就这样理解就可以了,具体想了解更加深入的话可以去网上查的。


  • 下面说具体怎么查看,要看哪些文件?


1:新开机器,打开客户机上的C盘,然后按照下图的操作,意思是把隐藏的文件显示出来,不然有的文件隐藏的就看不到了。

怎么查文件是不是病毒,木马,或者异常的!

怎么查文件是不是病毒,木马,或者异常的!

2:我们要查的文件都是看开机时间创建的,点修改日期,排列好后看刚刚开机时间创建的每个文件夹,然后在点开每个文件夹,在看里面刚刚开机创建的每个文件,里面有文件夹的话一个道理,继续点开文件夹,需要点耐心和细心点。

怎么查文件是不是病毒,木马,或者异常的!

怎么查文件是不是病毒,木马,或者异常的!

3:下面的图片是前几天查的,他是隐藏的没有签名的,所以是可疑的,在去排查是怎么来的就可以了,排除法,退还原点一个个看。

11.png

另外这里说下,WIN10下看驱动的软件可以用下图的,一般镜像包里都有的。

12.png

下面说下盗号的一些事情,我只可以简单大概得说下,毕竟这方面的事情是需要非常非常专业的人去分析的,为什么会被盗号,那是因为有病毒,病毒是利用了软件的漏洞去获取密码,所以盗号是有2个方面组合起来的,1是有病毒+2是软件漏洞,另外是后门,后门可以理解为家里的钥匙被人复制了一把,这个人想什么时候到你家来都可以开门了,后门也就是说盗号的人可以自已控制病毒的下发时间,比如可以在晚上8-10点开启下发病毒的时间,或者是其他随便什么时间,当病毒拿到账号密码后,也不是马上会去改掉你的密码,可能会过几天或者1个礼拜左右。


案例1:


       上个礼拜五查到的一个案例,病毒文件我用IDA分析,发现里面有获取按键信息的代码

13.png

微步沙箱执行确实有相关行为:

14.png

其次还会检测相关杀毒软件进程信息,检测到相关程序即退出执行

15.png

然后里面可以看到后门服务器IP信息,然后通过易语言bbtcp函数去交互。所以这个文件应该就是后门,不是直接盗号的。

怎么查文件是不是病毒,木马,或者异常的!

怎么查文件是不是病毒,木马,或者异常的!

 然后查询里面的IP45.125.146.239,发现图片里的4个文件有连过这个IP的

18.png

相关文件有遍历查找某个进程的行为

19.png

这个病毒文件是某个营销软件带下来的,后来用户联系厂商,重新更新了服务端就没有了。


     案例2:


      还是2月份查的了,是某个去广告软件(第一次听说的)带来的病毒。

20.png

这个后缀tmp的文件其实是rar的,需要解压出来再用IDA分析的,这段代码和病毒我给厂商分析确认了,是会盗号的,后期等他们更新解决。

21.png

这里再分享一个小知识,怎么判断后缀是tmp或者dat文件是不是exe文件的,右键tmp或者dat文件-点击打开方式-尝试使用这台电脑上的应用↓-选记事本打开,如下图,里面有MZ的就是exe文件,那么遇到这样的文件就需要分析看看了。

怎么查文件是不是病毒,木马,或者异常的!

怎么查文件是不是病毒,木马,或者异常的!

案例3:某个计费环境下盗号的,给了个升级文件替换后就没有那个随机名的隐藏文件了,应该是某个漏洞导致的。

24.png

总结:盗号环境都不一样,也不是说每个盗号环境都可以查到病毒的,在查不到的环境里,可以取消不是一定要用的软件排除看看的,另外现在好多文件都是加壳的,主要是vmp的壳,这样的是分析不了的,upx壳还是遇到的不多的,如果遇到加vmp壳的可以去下面2个分析参考下的。


1、www.virustotal.com


2、s.threatbook.com


文章版权声明:除非注明,否则均为爱分享吧原创文章,转载或复制请以超链接形式并注明出处。

您需要 登录账户 后才能发表评论

发表评论

快捷回复: 表情:
AddoilApplauseBadlaughBombCoffeeFabulousFacepalmFecesFrownHeyhaInsidiousKeepFightingNoProbPigHeadShockedSinistersmileSlapSocialSweatTolaughWatermelonWittyWowYeahYellowdog
评论列表 (暂无评论,772人围观)

还没有评论,来说两句吧...

目录[+]

取消
微信二维码
微信二维码
支付宝二维码