写点什么

网络攻防学习笔记 Day71

发布于: 2 小时前
网络攻防学习笔记 Day71

勒索病毒是伴随数字货币兴起的一种新型病毒木马,机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且受害者无法读取原本正常的文件,从而造成无法估量的损失。


云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户进行防护或打补丁。对于无法打补丁的计算机终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵。


挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。


ProcessExplorer 是进程管理工具,它能管理隐藏在后台运行的程序,可监视、挂起、重启、强行终止任何程序,包括系统级的不允许随便终止的关键进程等。


PCHunter 是一个功能强大的 Windows 系统信息查看软件,同时也是手工杀毒软件,它不但可以查看各类系统信息,还可以查出计算机中潜伏的挖矿木马。PCHunter 使用了Windows 内核技术。


判断是否遭遇挖矿木马,通常采用以下 3 种方法

(1)被植入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常运行等现象。

(2)通过服务器性能监测设备查看服务器性能,从而判断异常。

(3)挖矿木马会与矿池地址建立连接,可通过查看安全监测类设备告警判断。


判断挖矿木马挖矿时间

(1)查看挖矿木马文件创建时间。通过挖矿木马文件创建的时间,可以判断其初始运行时间。但单从文件属性来查看有时也不准确,挖矿程序常会利用任务计划方法定时运行,每次运行将会更新文件运行时间。


(2)查看任务计划创建时间。挖矿木马通常会创建任务计划,定期运行,所以可以查看任务计划的创建时间。但任务计划也可能存在更新的情况,若进行了二次更新,则会刷新更新时间。另外,还有的挖矿木马拥有修改文件创建时间和任务计划创建时间的功能,以此达到伪装的目的。


(3)查看矿池地址。挖矿木马会与矿池地址建立连接,所以可通过安全监测类设备查看第一次连接矿池地址的时间,也可以作为判断依据。

发布于: 2 小时前阅读数: 5
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day71