樱井莉亚作品-巨屌 av 荫藏再深也不惧 WMI木马查杀实战
黑.丝.足.交
你的位置:樱井莉亚作品 > 黑.丝.足.交 > 巨屌 av 荫藏再深也不惧 WMI木马查杀实战
巨屌 av 荫藏再深也不惧 WMI木马查杀实战
发布日期:2024-08-20 05:00    点击次数:210

巨屌 av 荫藏再深也不惧 WMI木马查杀实战

    WMI(即Windows Management  Instrumentation的简称)是Windows的一个中枢组件。咱们不错借助该组件达成剧本部署、程度排列、监控目次修改等常见的操作巨屌 av,一些与人为善的设备者则诈欺WMI的这些特质生成木马来危害咱们的电脑。由于WMI是系统组件,这么WMI木马不错达成“无文献”口头运转,难以被分析及检测到。那么要是电脑被WMI木马入侵会有什么阐扬,咱们又该若何对其进行查杀和防护呢?

1. 了解WMI坏心软件的运改换制

    如上所述,WMI具备的功能卓著丰富,关于黑客来说独一诈欺其中的敕令就不错完成好多操作。比如取得相应的权限后,在诡计电脑上使用“wmic  os get  /FORMAT::80/123.xsl”敕令就不错达成从网站工作器落魄载所需的坏心软件123.xsl(图1)。

2106A-CSWWJ-1

    虽然在执交运转中,这些坏心软件还不错诈欺WMI进行更多的操作,如使用“wmic job call create  123.exe,0,0,true,false,********154800.000000+480”敕令创建一个在后台运转的任务贪图,致使不错实施创建系统工作、将DLL文献注入系统程度等操作。因为这里使用的皆是系统敕令(wmic.exe),并不像老例的木马、病毒那样由执行实施,是以称之为“无文献”(严格来说是WMI剧本运转,剧本被触发后实施下载木马等操作)口头运转。比如恶名昭著的“KingMiner挖矿木马”,它通过WMI事件订阅来不休地触发木马在后台运转。

●火速流畅:

本刊2018年6期著作《搞定WMI程度资源占用的问题》先容了WMI的商量常识。

制服丝袜

2. 发现和识别WMI坏心软件巨屌 av

    WMI木马的一个伏击特质便是借助WMI剧原本下载约略激活木马运转。比如某WMI挖矿木马感染电脑后会在系统里生成一个任务贪图,任务会在后台勾通到工作器下载挖矿木马。挖矿木马运转后会占用系统大宗的资源和带宽,导致Windows在平常使用时运转缓缓,网页掀开速率也变得很慢,且电脑的硬盘辅导灯一直在明慧(因为木马会在后台不休地读取数据)。要是我方的电脑在使用时有上述的非常表象,那么就需要使用安全软件查验是否中了木马。

    Windows  10用户不错先使用系统自带的“安全中心”进行查杀,要是无法搞定问题则不错借助一些木马专杀软件,如火绒恶性木马专杀器用(https://bbs.huorong.cn/thread-18575-1-1.html)进行查杀,启动软件后点击“立即扫描”,常见的木马(包括WMI木马)一般皆不错被自动查杀(图2)。

2106A-CSWWJ-2

    不外,要是中了WMI木马,安全软件只会将WMI剧本下载的木马文献删除,然则无法弥漫斩断WMI木马文献的下载阶梯,如上述先容的WMI挖矿木马便是诈欺任务贪图进行下载。因为任务贪图中并莫得坏心软件,安全软件是不会将其删除的,是以通过专杀软件删除木马后,每次重启系统扫描后照旧一直辅导发现木马文献,那么就极可能中了WMI木马,这时就还需要对系统的启动项进行查验,搜检是否有非常的启动项。

    系统启动项查验不错借助Autoruns来完成(https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),启动神色后它会自动对本机所有的启动样貌进行检测,包括贪图任务、工作、WMI等(图3)。

2106A-CSWWJ-3

    比如笔者公司的一台电脑在实施安全扫描时就发现木马文献无法透澈删除的表象,在本机运转Autoruns后切换到“贪图任务”,在掀开的窗口中就不错看到后台所有的任务贪图。关于没罕有字签名的任务,神色会使用浅红色进行标注,不错看到本机中一个名为“lsmosee”的任务极为可疑,它加载的是本机临时目次中的一个VBS文献(图4)。

2106A-CSWWJ-4

    在上图选中“lsmosee”并右击,聘任“跳转到文献夹”,在掀开的文献夹中阐述图上“镜像旅途”的辅导,使用记事本掀开“54236.vbs”文献,其中明白的恰是一些WMI剧本的内容,它的作用便是在后台定时下载木马文献。目下按辅导将其删除。接着复返上图,选中“lsmosee”任务并点击“删除”,这么就不错割断木马的下载通谈。临了使用火绒安全软件再扫描一遍电脑,删除其他带毒的文献后,问题得到告成的搞定(图5)。

2106A-CSWWJ-5

3. 暂劳永逸封禁WMI木马下载

    WMI木马难以查杀的原因便是由于它的下载口头是通过WMI剧本达成,况兼WMI剧本激活的挨次好多(如上例为任务贪图,有些则是使用程度注入等),不外WMI剧本的运转要依赖“WMI  Performance  Adapter”工作,因此关于个东谈主用户来说,不错通过停用工作的挨次来辞谢WMI剧本的运转。在桌面的任务栏搜索框中输入“工作”,掀开工作顾问组件后找到上述工作,双击掀开后将其罢手,并将其启动类型竖立为“禁用”,这么本机所有的WMI剧本就无法运转了(图6)。

2106A-CSWWJ-6

堤防:

禁用WMI工作可能会导致一些收罗工作无法使用。禁用工作要是影响电脑使用,请实时进行收复。

起首:CFan 电脑心疼者巨屌 av