5、WMIC工作列表(WMIC Job List)
這是個看起來最不可能發(fā)現(xiàn)任何東西的項目�����,因為絕大多數(shù)惡意軟件都不用jobs���,但是在例如MPlug的一些版本中�,是很容易檢測出的�。輸入【wmic job list full】,你能夠獲得一個【沒有可用實例】的回執(zhí),這就意味著沒有已安排的項目在執(zhí)行�。
6、Netstat
莫忘記基礎�����,如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的����,輸出可能需要搜索來查看,即使這樣可以還是尋找奇異的外部站點端口號碼����,如25、8080����、6667等等。
Netstat控制如下:
-a 顯示所有連接和監(jiān)聽端口-b 顯示參與創(chuàng)建每個連接或者監(jiān)聽端口的可執(zhí)行文件-n 以數(shù)字形式顯示地址和端口號碼-o 顯示擁有的每個與鏈接相關的進程ID7�、批處理文件版本
用一種簡單可重復的方式完成這些WMIC東西并生成一份報告,怎么樣呢�?我已經(jīng)有了。把東西都丟到一個批處理文件中�����,然后設置一個主機名參數(shù)�����,你甚至能夠在全網(wǎng)中使用它——獲得其他計算機的適當權限����,方便進行遠程評估。
這個腳本可以讓你更清楚的了解HTML格式的輸出����,其中包括了你從電腦中獲取的信息:
wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:triage-%1.htmlwmic /node:%1 startup list full /format:htable >> c:triage-%1.htmlwmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:triage-%1.htmlwmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:triage-%1.htmlwmic /node:%1 job list full /format:htable >> c:triage-%1.html
小編推薦閱讀
