工作中样本处理流程
2017-08-12 09:58
113 查看
工作中样本处理流程
0x1 目的
邮件的弄清楚目的,是出报告 || 清除 || ?
0x2 信息收集
尽可能多的收集信息 1.只有一台机器还是几台或批量处理. 2.目前的症状.---能查,但是清不干净. 3.有样本-在虚拟机复现,和客户对比,复现成功就在这边操作,对比不一样就需要远程.
0x3 入库
先用引擎扫一遍,看能查否,不能查先入库.
0x4 虚拟机复现
1.File: C:\Documents and Settings\PC\Recent\uzgbtymhqo.vbs.lnk C:\Documents and Settings\PC\「开始」菜单\程序\启动\uzgbtymhqo.vbs C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs 2.进程: wscript.exe 3.CMD "C:\WINDOWS\system32\wscript.exe" //B "C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs" 4.reg(还要关注注册表写入数据的情况) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run uzgbtymhqo = wscript.exe //B "C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs" HKEY_CURRENT_USER\Software\IMAGE_FILE_HEADER (value) HKEY_CURRENT_USER\Software\DOS_STUB (value) 5.Net 8.8.4.4:53 6.跨进程写入msiexec.exe --> C:\WINDOWS\system32\wuauclt.exe --->写入MZ
0x5 清理关键位置
1.引擎能删除:C:\DOCUME~1\PC\LOCALS~1\Temp\uzgbtymhqo.vbs & C:\Documents and Settings\PC\「开始」菜单\程序\启动\uzgbtymhqo.vbs 2.lpk: C:\windows\lpk.dll
0x6 引擎查杀
1.升库 2.vmwareTest; 3.Reply to Email.
0x7 建议
建议以后处理样本,列一个信息收集文件清单. 1.样本. 2.引擎报毒情况(右下角弹窗)或查杀情况(全盘查杀)截图. 3.引擎log. 4.全部进程截图. 5.感染机器数量.
0x8 Note
1.根据HRJ在虚拟机中的监控信息,结合od迅速找到完成功能的地址(释放PE,注册表等.xf的bat.) 2.抓样本-去关键位置寻找蛛丝马迹.
相关文章推荐
- openVswitch(OVS)源代码分析之工作流程(数据包处理)
- Struts2学习---拦截器+struts的工作流程+struts声明式异常处理
- 驰骋工作流程引擎在流程设计发生变化后如何处理?
- EBS 在制资源待定事务处理(制造成本工作流程\资源成本工作流程)报错
- 利用开源的驰骋工作流程引擎,处理的集团公司流程应用案例之一.
- 利用 Gulp 处理前端工作流程
- 工作笔记--关于服务出问题时如何处理的流程
- 利用开源的驰骋工作流程引擎,处理的集团公司流程应用案例之一.
- 在线Word编辑的jQuery插件时间:2010-12-29 09:15点击:122 次 【大 中 小】 在做OA或者工作流程的网站中,常常能够看到一些在线Word编辑进行文档处理的功能,这里我开发了
- 《partner4java 讲述jBPM4》之第二步:描述工作流程 & 处理工作流程
- IMAP4协议处理状态及工作流程
- Mybatis工作机制源码分析—一次insert请求处理流程
- Mybatis工作机制源码分析—一次select请求处理流程
- tables->urls->views->forms处理工作流程-openstack E版
- 登录页面和FORM的职责不对称,处理方法,刷新工作流程
- Struts2 框架工作处理流程
- Struts1的工作处理流程
- 日常工作问题的处理流程
- Spring MVC请求处理流程、springMVC工作流程
- 《partner4java 讲述jBPM4》之第二步:描述工作流程 & 处理工作流程