這類情況無外乎靠兩種方式達到,自啟和惡意程式。
首先排查自啟,從開始選單的兩個使用者下的啟動資料夾,到登錄檔,服務,還有絕大部分人可能都會遺忘和忽略掉的任務,全部排查一遍。看到可疑的先幹掉再說。
接著是篩選可疑程序,
可疑程序不是很好排查,最簡單的是透過程序路徑和命令列這兩條大概遍歷一下,有沒有疑似惡意程式的程序在其中。如果排查不出來,
有兩種情況,一種是這種情況屬於一個你所信任的程式造成的,排查需要回憶一下最近有沒有什麼新改動,和新的程式安裝,從這之中去篩選嫌疑目標。
另一種情況是透過dll注入,死糾cmd不放是沒有用 的,畢竟不管他是不是cmd,它始終需要一個活著的程序去執行它他才會出現,所以完全不需要盯著那個一閃而過的cmd不放,只需要考慮究竟有什麼辦法,有什麼渠道可以神不知鬼不覺的後臺啟動,就能夠發現端倪,最終找出幕後真兇。
排查dll注入就需要在網上搜尋可信任的相關程式來進行了,一般篩選一下未簽名的程序和dll就可以很快發現目標的。
發現目標不要太著急刪掉,根據路徑看有沒有必要把所在資料夾翻一翻,一般惡意程式都有多重守護,你刪掉的只是其中一個,說不定過段時間就又復活了,所以一定要斬草除根。
這類情況無外乎靠兩種方式達到,自啟和惡意程式。
首先排查自啟,從開始選單的兩個使用者下的啟動資料夾,到登錄檔,服務,還有絕大部分人可能都會遺忘和忽略掉的任務,全部排查一遍。看到可疑的先幹掉再說。
接著是篩選可疑程序,
可疑程序不是很好排查,最簡單的是透過程序路徑和命令列這兩條大概遍歷一下,有沒有疑似惡意程式的程序在其中。如果排查不出來,
有兩種情況,一種是這種情況屬於一個你所信任的程式造成的,排查需要回憶一下最近有沒有什麼新改動,和新的程式安裝,從這之中去篩選嫌疑目標。
另一種情況是透過dll注入,死糾cmd不放是沒有用 的,畢竟不管他是不是cmd,它始終需要一個活著的程序去執行它他才會出現,所以完全不需要盯著那個一閃而過的cmd不放,只需要考慮究竟有什麼辦法,有什麼渠道可以神不知鬼不覺的後臺啟動,就能夠發現端倪,最終找出幕後真兇。
排查dll注入就需要在網上搜尋可信任的相關程式來進行了,一般篩選一下未簽名的程序和dll就可以很快發現目標的。
發現目標不要太著急刪掉,根據路徑看有沒有必要把所在資料夾翻一翻,一般惡意程式都有多重守護,你刪掉的只是其中一個,說不定過段時間就又復活了,所以一定要斬草除根。