网络攻防学习笔记 Day71

勒索病毒是伴随数字货币兴起的一种新型病毒木马，机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且受害者无法读取原本正常的文件，从而造成无法估量的损失。

云端免疫，实际上就是通过终端安全管理系统，由云端直接下发免疫策略或补丁，帮助用户进行防护或打补丁。对于无法打补丁的计算机终端，免疫工具下发的免疫策略本身也具有较强的定向防护能力，可以阻止特定病毒的入侵。

挖矿木马是利用各种方法入侵计算机，利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本，也可以集成在单个可执行文件中。

ProcessExplorer 是进程管理工具，它能管理隐藏在后台运行的程序，可监视、挂起、重启、强行终止任何程序，包括系统级的不允许随便终止的关键进程等。

PCHunter 是一个功能强大的 Windows 系统信息查看软件，同时也是手工杀毒软件，它不但可以查看各类系统信息，还可以查出计算机中潜伏的挖矿木马。PCHunter 使用了Windows 内核技术。

判断是否遭遇挖矿木马，通常采用以下 3 种方法

（1）被植入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常运行等现象。

（2）通过服务器性能监测设备查看服务器性能，从而判断异常。

（3）挖矿木马会与矿池地址建立连接，可通过查看安全监测类设备告警判断。

判断挖矿木马挖矿时间

（1）查看挖矿木马文件创建时间。通过挖矿木马文件创建的时间，可以判断其初始运行时间。但单从文件属性来查看有时也不准确，挖矿程序常会利用任务计划方法定时运行，每次运行将会更新文件运行时间。

（2）查看任务计划创建时间。挖矿木马通常会创建任务计划，定期运行，所以可以查看任务计划的创建时间。但任务计划也可能存在更新的情况，若进行了二次更新，则会刷新更新时间。另外，还有的挖矿木马拥有修改文件创建时间和任务计划创建时间的功能，以此达到伪装的目的。

（3）查看矿池地址。挖矿木马会与矿池地址建立连接，所以可通过安全监测类设备查看第一次连接矿池地址的时间，也可以作为判断依据。