IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

【技术分享】如何分析恶意软件在系统中执行了?

发布时间:2017-08-12 01:52文章来源:安全客文章作者: nstlBlueSky点击次数:
译者: nstlBlueSky 预估稿费:200RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 你发现了一个恶意的可执行文件,现在你有一个关键的问题要回答:文件是否执行?这篇文章中我们将讨论一些可用于回答这个问题的一些依据。在文中,我们将重点

http://p9.qhimg.com/t01ea3abeeb978b7024.jpg

译者:nstlBlueSky

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


你发现了一个恶意的可执行文件,现在你有一个关键的问题要回答:文件是否执行?这篇文章中我们将讨论一些可用于回答这个问题的一些依据。在文中,我们将重点介绍Windows系统上的静态或“死锁”取证。我们将介绍四个主要的依据:Windows预读取注册表日志文件文件信息


预读取


Windows 预读取是最开始查找文件执行证据的好地方。 微软设计的Windows 预读取允许常用程序可以很快的打开。默认情况下,它将最近128个执行文件的信息存储在“C:\Windows\Prefetch”中的预读取文件中。预读取文件被命名为"可执行文件名"+文件路径的哈希值+.pf。预读取文件中存储进程执行前十秒内的第一次和最后一次运行日期、文件路径、执行的次数以及需要加载的文件。因此,如果您的恶意软件存在文件名显示为“DABEARS.EXE-12F3B52A.pf”这样的预读取文件,那么您将知道该文件已经在执行了。不过请注意:在Windows服务器上,默认情况下是禁用预读取功能的。
【技术分享】如何分析恶意软件在系统中执行了?
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/1040799.html

标签分类:

上一篇:上一篇:【病毒分析】假勒索真愤青:永久摧毁文件的israbye病毒分析
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量