5、WMIC工作列表(WMIC Job List)
這是個看起來最不可能發(fā)現任何東西的項目���,因為絕大多數惡意軟件都不用jobs��,但是在例如MPlug的一些版本中��,是很容易檢測出的��。輸入【wmic job list full】�����,你能夠獲得一個【沒有可用實例】的回執(zhí)����,這就意味著沒有已安排的項目在執(zhí)行��。
6��、Netstat
莫忘記基礎,如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的���,輸出可能需要搜索來查看�����,即使這樣可以還是尋找奇異的外部站點端口號碼����,如25���、8080����、6667等等����。
Netstat控制如下:
-a 顯示所有連接和監(jiān)聽端口-b 顯示參與創(chuàng)建每個連接或者監(jiān)聽端口的可執(zhí)行文件-n 以數字形式顯示地址和端口號碼-o 顯示擁有的每個與鏈接相關的進程ID7����、批處理文件版本
用一種簡單可重復的方式完成這些WMIC東西并生成一份報告,怎么樣呢�����?我已經有了。把東西都丟到一個批處理文件中���,然后設置一個主機名參數��,你甚至能夠在全網中使用它——獲得其他計算機的適當權限���,方便進行遠程評估。
這個腳本可以讓你更清楚的了解HTML格式的輸出��,其中包括了你從電腦中獲取的信息:
wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:triage-%1.htmlwmic /node:%1 startup list full /format:htable >> c:triage-%1.htmlwmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:triage-%1.htmlwmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:triage-%1.htmlwmic /node:%1 job list full /format:htable >> c:triage-%1.html
小編推薦閱讀
