Особый случай
Для известных троянов, которые могут быть обнаружены и уничтожены популярными механизмами уничтожения вирусов, такими как трояны-майнеры Driver Life и wakeamine, в случае сбоя полного сканирования можно попробовать использовать быстрое сканирование; причина в том, что механизм уничтожения файлов и популярный механизм удаления вирусов Это параллельные отношения.Когда производительность хоста низкая, это может привести к тайм-ауту механизма обработки эпидемических вирусов.
Как следует позиционировать существующие процессы
процесс существует
EDR не сканирует процесс отдельно, поэтому, когда вирус существует только в процессе и хосте, его невозможно обнаружить и убить, в это время необходимо найти вирусный процесс и завершить его, самый быстрый способ - перезапустить хост, но в некоторых особых случаях хост не может быть перезапущен.Нужны инструменты, чтобы найти вирусный процесс и остановить его.
Когда сторона трафика продолжает сообщать, что хост получает доступ к вредоносным доменным именам или IP-адресам, вы можете использовать инструмент поиска памяти для сканирования памяти процессов на хосте, чтобы найти вредоносные процессы.Однако следует отметить, что буфер обмена, удаленное программное обеспечение, анти- -Вирусное программное обеспечение и т. д. может быть. Поскольку строка имени домена была скопирована, она была отсканирована и должна быть исключена.
пример
Используя инструмент ботнета, нажмите «Поиск угроз»:
Адрес загрузки инструмента ботнета: Sangfor EDR
Введите строку доменного имени для поиска и нажмите «Искать»:
Через некоторое время вы получите информацию о процессе, содержащую имя домена.Вы можете видеть, что vmtoolsd.exe содержит строку имени домена из-за использования функции буфера обмена.Более подозрительными являются два процесса svchost.exe:
Как определить, какой svchost действительно проблемный?Используйте инструмент processhacker для просмотра информации о процессе, найдите процесс по PID - щелкните правой кнопкой мыши - Службы, вы можете просмотреть службу, соответствующую процессу; процесс svchost.exe с PID 1140 соответствует службе Вот что выглядит не очень подозрительно:
Среди сервисов, соответствующих svchost.exe с PID 904, есть подозрительный сервис fastuserswitchingcompatibility, поэтому нажмите «Перейти к сервису» для просмотра информации о сервисе:
Видно, что описание сервиса тоже очень странное, правый клик - Свойства, чтобы просмотреть подробную информацию о сервисе:
Вы можете видеть, что служебная DLL представляет собой файл в формате jpg, что очень подозрительно.Вы можете вынуть его, чтобы определить, является ли это пропущенным вирусным файлом:
Запланированные задачи
Используйте инструмент Autoruns для просмотра запланированных задач, созданных на хосте, и подробного содержимого команды.Выполняются команды Powershell или команды cmd, а запланированные задачи со странными доменными именами, IP-адресами или зашифрованными данными в командах вызывают большие подозрения:
Или имя более подозрительное, и путь к исполняемому файлу более подозрительный:
Вредоносные запланированные задачи можно экспортировать в «Запланированные задачи программы», которые можно сохранить для облегчения анализа поведения вируса:
Устранение неполадок службы
О вредоносных сервисах судить относительно сложно, так как вредоносные сервисы часто маскируются под названия сервисов, которые выглядят нормально, поэтому больше полагаются на опыт.Например, сервис Wannamin склеен из определенного списка слов; был проанализирован, вы можете узнать, существуют ли вредоносные сервисы, проверив, не является ли программа, соответствующая сервису, подозрительной.
Например, сервис fastuserswitchingcompatibility на рисунке ниже:
Соответствующая сервисная программа оказывается файлом в формате jpg, что очень подозрительно, после извлечения файла на анализ оказывается, что это троянская программа:
Если вы не можете судить непосредственно по названию службы, вы можете найти соответствующую службу через известные вредоносные процессы. Как показано на рисунке, svchost.exe с PID 904 является подозрительным процессом.Нажмите правой кнопкой мыши - Службы, чтобы просмотреть службу, соответствующую процессу.Название службы fastuserswitchingcompatibility выглядит странно, поэтому нажмите "Перейти к службе", чтобы просмотреть информацию о службе. :
Видно, что описание сервиса тоже очень странное, правый клик - Свойства, чтобы просмотреть подробную информацию о сервисе:
Вы можете видеть, что служебная DLL (файл DLL, соответствующий службе) представляет собой файл jpg, что очень подозрительно, вы можете вынуть его, чтобы определить, является ли он пропущенным вирусным файлом:
Устранение неполадок WMI
WMI также является часто используемым резидентным элементом для троянских коней. Вы можете просмотреть конкретное содержимое WMI с помощью инструмента Autoruns. Оценка WMI аналогична оценке запланированных задач. Она оценивается по имени и содержанию. Например, следующее имя WMI очень подозрительно, и была выполнена зашифрованная команда powershell, которая определенно является вредоносной:
Устранение неполадок MBR
Перезапись MBR также является резидентным методом, который сложнее оценить и исправить.Если после проверки других резидентных элементов он все еще не очищается, вы можете попробовать использовать инструменты для сканирования, была ли изменена MBR, и использовать специальное уничтожение, чтобы почистить. .
Устранение неполадок резидентности SQL
Когда сервер время от времени обращается к имени вредоносного домена, но элемент автозагрузки не может быть найден с помощью автозапуска, вы можете проверить SQL Server, чтобы убедиться, что в нем присутствует какой-либо вредоносный код.
Клиенты сообщили, что доступ к вредоносному доменному имени sql.4i7i.com будет осуществлен сразу после перезапуска сервера.
Угроза связана с тем, что вирус будет атаковать SQL Server, поэтому предполагается, что вредоносный код может находиться в SQL Server.
Откройте Autoruns, подозрительных элементов автозагрузки не обнаружено.
С помощью определения местоположения угроз обнаружено, что в памяти sqlserver.exe есть вредоносные строки имени домена.
Затем используйте ProcessHacker для поиска строки sql.4i7i.com в памяти sqlservr.exe и обнаружения кода powershell, который в основном может определить наличие вредоносного кода powershell, резидентного в SQL Server.
Откройте SQL Server, щелкните: Агент SQL Server --> Задание, щелкните правой кнопкой мыши элемент подозрительного задания и откройте новое окно редактора запросов.
Вы можете найти вредоносный код powershell в окне, удалить вредоносное задание test_powershell_job1, и сервер больше не будет тревожить.