更新时间:2023-07-04 GMT+08:00
步骤1:进程分析
本章节介绍如何通过Windows官方进程排查木马程序。
前提条件
推荐下载“ProcessExplorer”软件。
操作步骤
- 打开“ProcessExplorer”文件夹,双击“procexp64.exe”文件。
图1 processExplorer
- 在弹出的对话框中,单击“Agree”,查看进程信息,在线排查进程。
图2 查看当前进程
- 在上方的菜单栏中,选择,勾选“Check VirusTotal.com”和“Submit Unknown Executables”。
图3 options > VirusTotal.com
此时,系统会将当前进程的hash值同virustotal库比对,可快速发现木马进程。
图4 Process Explore-Sysinternals
- 检查“VirusTotal”值,右键单击进程名称,选择“Properties”,在弹出的页面中,单击“Image”可查看进程路径,进而再次判断该进程是否是木马程序。
图5 判断是否为木马程序
父主题: 方案一:工具溯源排查
