版权声明:严禁将博客中涉及到的技术用于恶意破坏,如果造成法律责任,博主概不负责! https://blog.csdn.net/Fly_hps/article/details/88031440
情形
在应急中遇到服务器不能拖入工具进行分析的情况下,又想确认文件是否安全,这就需要提取进程对应的PE文件hash然后去威胁情报平台进行确认。
Ps:不能拖入工具的原因有很多,可能是服务器拖入数据拖出数据需要流程审批,可能是服务器已经被感染,可能是客户不允许这种操作,因此可以先了解一下现象后直接看看可疑进程、服务、启动项对应的一些程序文件。
Windows中有很多办法来计算文件hash,有Powershell会比较方便,但是例如在xp上就不一定那么好办了。
所以介绍一下 certutil 这个命令,它基本上支持Windows XP+ 操作系统,关于它的一些功能慢慢总结,它非常强大,还支持一些编码解码功能。
certutil -hashfile yourfile.exe MD5
certutil -hashfile yourfilename.exe SHA1
certutil -hashfile yourfilename.bin SHA256
提取出来的hash可到下面的平台查询:
扫描二维码关注公众号,回复:
5366141 查看本文章
