5、WMIC工作列表(WMIC Job List)
这是个看起来最不可能发现任何东西的项目,因为绝大多数恶意软件都不用jobs,但是在例如MPlug的一些版本中,是很容易检测出的。输入【wmic job list full】,你能够获得一个【没有可用实例】的回执,这就意味着没有已安排的项目在执行。
6、Netstat
莫忘记基础,如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的,输出可能需要搜索来查看,即使这样可以还是寻找奇异的外部站点端口号码,如25、8080、6667等等。
Netstat控制如下:
-a 显示所有连接和监听端口-b 显示参与创建每个连接或者监听端口的可执行文件-n 以数字形式显示地址和端口号码-o 显示拥有的每个与链接相关的进程ID7、批处理文件版本
用一种简单可重复的方式完成这些WMIC东西并生成一份报告,怎么样呢?我已经有了。把东西都丢到一个批处理文件中,然后设置一个主机名参数,你甚至能够在全网中使用它——获得其他计算机的适当权限,方便进行远程评估。
这个脚本可以让你更清楚的了解HTML格式的输出,其中包括了你从电脑中获取的信息:
wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:triage-%1.htmlwmic /node:%1 startup list full /format:htable >> c:triage-%1.htmlwmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:triage-%1.htmlwmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:triage-%1.htmlwmic /node:%1 job list full /format:htable >> c:triage-%1.html
小编推荐阅读
