. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 回复
 
主题工具
stevenxu
 
stevenxu 的头像
支柱会员
 
资 料:
注册日期: Oct 2001
帖子: 5,292 声望值: 3
精华: 0,解答: 16
#16 旧 2021-09-06, 13:14:15 默认
stevenxu 当前离线  

建议自己写个CMD替代系统的CMD,它的功能就是记录父进程的名字、位置,然后去启动被你藏起来的系统CMD。


万物非主,唯曼尼大神是主
至圣之先师,亚当史密斯
回复时引用此帖
lllaaa
 
lllaaa 的头像
超级会员
 
资 料:
注册日期: Feb 2002
帖子: 1,026 声望值: 3
精华: 1,解答: 2
#17 旧 2021-09-06, 13:26:41 默认
lllaaa 当前离线  

rootkit?


换了马甲还是条好汉。。。。。。
回复时引用此帖
WhoCares
 
WhoCares 的头像
传说中的……
 
资 料:
注册日期: Dec 2000
帖子: 7,030 声望值: 3
精华: 0,解答: 52
#18 旧 2021-09-06, 13:50:53 默认
WhoCares 当前离线  

挖矿的通常不需要这么高级,一般都是通过漏洞或者弱密码进来,然后找个比较隐蔽的启动项启动。
有些人是天天在扫描的,被扫中了随时可以进来,也就是即使没了启动项,但是漏洞还在,别人就可能再次进来。

先杀软扫一下启动项,火绒的启动项扫描不一定全的

引用:
作者: lllaaa 查看帖子
rootkit?


Life finds a way. Jurassic Park (1993)
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,314 声望值: 3
精华: 3,解答: 10
#19 旧 2021-09-06, 13:56:44 默认
Fireflying 当前离线  

引用:
作者: WhoCares 查看帖子
跟这个木马估计是一家的,这个会访问 "http://185.112.144.245/a/data" 去下载东西[url]https://any.run/report/d4f9a5f8543a91001a859a064b9b0082e633a09e7e23c5a1557bcf5fb59f284c/7d......
果然就是这个,正在逐项检查对比。只是不太了解Powershell的运行机制,不知道删除这些注册表项会不会有啥副作用。
先把它创建的注册表键值删掉了,然后根据这个网站的信息,找到下载脚本的目录,把里面的文件都删了。用安全组拦截了木马源头的网站,拦截了木马查询DNS的那个IP。暂时先这样了,观察一阵子再说。
Process Monitor开起来了,持续监视Powershell,看它有没有被啥玩意运行。
系统漏洞的话,范围有点宽,没有头绪。
上传的图像
文件类型: png YDark检查注册表.png (50.1 KB, 267 次查看)

此帖于 2021-09-06 15:08:50 被 Fireflying 编辑. .
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,314 声望值: 3
精华: 3,解答: 10
#20 旧 2021-09-06, 13:57:39 默认
Fireflying 当前离线  

引用:
作者: stevenxu 查看帖子
建议自己写个CMD替代系统的CMD,它的功能就是记录父进程的名字、位置,然后去启动被你藏起来的系统CMD。
父进程就是powershell。
回复时引用此帖
muler2000
 
muler2000 的头像
热心会员
 
资 料:
注册日期: Mar 2002
帖子: 5,142 声望值: 3
精华: 0,解答: 7
#21 旧 2021-09-06, 20:08:44 默认
muler2000 当前离线  

程序已经跑内存里了,可能查不出启动项的了。
你这个系统好多服务内容,要把相关漏洞都处理了,不然知道ip随时杀进来的。
回复时引用此帖
muler2000
 
muler2000 的头像
热心会员
 
资 料:
注册日期: Mar 2002
帖子: 5,142 声望值: 3
精华: 0,解答: 7
#22 旧 2021-09-10, 20:03:33 默认
muler2000 当前离线  

情况如何了,兄弟浮头说几句哈。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,314 声望值: 3
精华: 3,解答: 10
#23 旧 2021-09-14, 14:48:48 默认
Fireflying 当前离线  

引用:
作者: muler2000 查看帖子
情况如何了,兄弟浮头说几句哈。
根据13楼兄弟的提示,检查了一下系统,删除了一些疑似脚本的文件,删除了一些注册表键值,并且在安全组上对下载来源网站的IP进行了拦截,目前暂时相安无事。
但是发现只要主机重启,就会有Powershell调用cmd去远程下载木马,反复检查也找不到开机启动Powershell的入口。挂Process Monitor企图监视Powershell进程,结果两次都是挂十多个小时候之后主机蓝屏崩溃,可能是Process Monitor连续运行消耗资源太大把系统拖崩了。无奈,终止Process Monitor。目前是暂时没有再发现木马,不过我觉得现在相安无事的原因应该主要是得益于安全组的拦截,那个启动Powershell的源头仍然没有找到。
回复时引用此帖
sheayone
 
sheayone 的头像
热心会员
 
资 料:
注册日期: Feb 2011
帖子: 483 声望值: 3
精华: 0,解答: 6
#24 旧 2021-09-15, 15:37:20 默认
sheayone 当前离线  

引用:
作者: Fireflying 查看帖子
根据13楼兄弟的提示,检查了一下系统,删除了一些疑似脚本的文件,删除了一些注册表键值,并且在安全组上对下载来源网站的IP进行了拦截,目前暂时相安无事。但是发现只要主机重启,就会有Powershell调用cmd去远程下载木马,反复检查也找不到开机启动Powershell的入口。挂Process Monitor企图监视Po......
如果是很长时间触发一次,可能需要检查一下是不是有在计划任务里面埋雷定时触发。我之前电脑因为小孩子乱下载东西装了一大堆垃圾,清理干净后还是偶尔会弹一个黄色网页,查了好久才发现是在计划任务里面触发的,NND


Only the paranoid survives.
回复时引用此帖
muler2000
 
muler2000 的头像
热心会员
 
资 料:
注册日期: Mar 2002
帖子: 5,142 声望值: 3
精华: 0,解答: 7
#25 旧 2021-09-15, 16:44:07 默认
muler2000 当前离线  

计划任务肯定是要先查的。

Options _ Enable Boot Logging
process monitor 可以记录启动过程,
你找个时间重启,捕捉一下日志

最好能给系统C做个映像,这样才好方便取证的。
回复时引用此帖
WhoCares
 
WhoCares 的头像
传说中的……
 
资 料:
注册日期: Dec 2000
帖子: 7,030 声望值: 3
精华: 0,解答: 52
#26 旧 2021-09-15, 17:45:44 默认
WhoCares 当前离线  

要设置filter的,第一步只保留进程创建的信息,其他的被filter out的要设置为全部drop掉。

process monitor用的event trace,如果全部信息都保留,很快就几G、几十G的数据了

即便是火绒家的专业人士来查,无非也就是这么三板斧:
先用自家的杀软扫(多用几家的杀软)
再手动看几个常见的启动项(是否被本家的杀软漏报)
再process monitor
再不行,自己写驱动来做针对性的记录,极端情况下可能才需要

引用:
作者: Fireflying 查看帖子
根据13楼兄弟的提示,检查了一下系统,删除了一些疑似脚本的文件,删除了一些注册表键值,并且在安全组上对下载来源网站的IP进行了拦截,目前暂时相安无事。但是发现只要主机重启,就会有Powershell调用cmd去远程下载木马,反复检查也找不到开机启动Powershell的入口。挂Process Monitor企图监视Po......

此帖于 2021-09-15 18:47:01 被 WhoCares 编辑. .
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,314 声望值: 3
精华: 3,解答: 10
#27 旧 2021-09-16, 09:49:13 默认
Fireflying 当前离线  

引用:
作者: WhoCares 查看帖子
要设置filter的,第一步只保留进程创建的信息,其他的被filter out的要设置为全部drop掉。process monitor用的event trace,如果全部信息都保留,很快就几G、几十G的数据了即便是火绒家的专业人士来查,无非也就是这么三板斧:先用自家的杀软扫(多用几家的杀软)再手动看几个常见的启动项(是......
我也意识到可能是Process Monitor没设置好,过滤器是已经设置了的,好像默认状态,虽然设置了过滤器,但实际上它仍然会记录所有的信息,只不过只显示过滤之后的信息,这样就造成缓存溢出。
具体怎么设置才让它只监视只记录指定的信息,避免溢出?比方说我只监视powershell.exe的动作,别的都不要。
网上搜了一些教程,写的不是很具体。

曾经请PCHunter的工程师检查过系统,也没有找到源头。

此帖于 2021-09-16 09:54:52 被 Fireflying 编辑. .
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,314 声望值: 3
精华: 3,解答: 10
#28 旧 2021-09-16, 09:53:28 默认
Fireflying 当前离线  

引用:
作者: sheayone 查看帖子
如果是很长时间触发一次,可能需要检查一下是不是有在计划任务里面埋雷定时触发。我之前电脑因为小孩子乱下载东西装了一大堆垃圾,清理干净后还是偶尔会弹一个黄色网页,查了好久才发现是在计划任务里面触发的,NND
计划任务、服务、注册表项等等常规能想到的地方,全部查过,没有找到入口。后来发现只要重启,就有一次Powershell调用cmd的动作,但是因为源网站被安全组拦截了,所以虽然有动作,但是没成功。
回复时引用此帖
MacOS
 
MacOS 的头像
热心会员
 
资 料:
注册日期: Aug 2002
帖子: 13,448 声望值: 5
精华: 0,解答: 129
#29 旧 2021-09-16, 09:54:15 默认
MacOS 当前离线  

WMI脚本有可能


HIDDEN MESSAGE LEVEL 3
14863 159357 789 159357 3245687 3684
回复时引用此帖
oar
 
oar 的头像
终极会员
 
资 料:
注册日期: Oct 2000
帖子: 9,058 声望值: 3
精华: 0,解答: 14
#30 旧 2021-09-16, 11:26:22 默认
oar 当前离线  

autoruns每一条检视一遍……不可能没有蛛丝马迹的,
除非系统漏洞外部轻易利用


It's a sad fact of life. Lies are lies ,and sometimes the truth can lies as well.
回复时引用此帖
发表新主题 回复

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 19:44:47.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号