文档首页/ 安全技术与应用/ 最佳实践/ 主机安全排查/ 主机安全排查(Windows操作系统)/ 排查过程/ 方案一:工具溯源排查/ 步骤1:进程分析
更新时间:2022-12-01 GMT+08:00
查看PDF

步骤1:进程分析

本章节介绍如何通过Windows官方进程排查木马程序。

前提条件

推荐下载“ProcessExplorer”软件。

操作步骤

  1. 打开“ProcessExplorer”文件夹,双击“procexp64.exe”文件。

  2. 在弹出的对话框中,单击“Agree”,查看进程信息,在线排查进程。

  3. 在上方的菜单栏中,选择Options > VirusTotal.com,勾选“Check VirusTotal.com”“Submit Unknown Executables”

    此时,系统会将当前进程的hash值同virustotal库比对,可快速发现木马进程。

  4. 检查“VirusTotal”值,右键单击进程名称,选择“Properties”,在弹出的页面中,单击“Image”可查看进程路径,进而再次判断该进程是否是木马程序。