運維 使用FC命令輔助查殺DLL木馬

2022-04-25 13:03:42 字數 1108 閱讀 4024

在windows系統中,system32目錄下是木馬隱身的好地方,查詢起來非常困難,許多木馬都削尖了腦袋往那裡鑽,dll木馬也不例外。針對這一點使用者可以在安裝好系統和必要的應用程式後,對該目錄下的exe和dll檔案作乙個記錄。

注:有了這個思路後,後續你可以安裝一些比較檔案不同的軟體,如uc之類。而不用fc命令也可以。另新安裝好伺服器時也可以先備份一下dll列表這樣養成良好習慣。

第1步 開啟命令提示符,進入system32目錄。

第2步 執行dir *.exe>exeback.txt& dir *.dll>dllback.txt命令即可備份所有的exe和dll檔案的名稱。

exe和dll檔案的名稱都被分別記錄到exeback.txt和dllback.txt中,以後如發現系統執行異常但用防毒軟體又查不出問題時,就要考慮是不是系統中已經潛入dll木馬了。

這時用同樣的命令將system32下的exe和dll檔名記錄到exeback2.txt和dllback2.txt中,然後執行:

fc exeback.txt exeback1.txt>exefc.txt & fc dllback.txt dllback1.txt>dllfc.txt

用fc命令比較前後兩次的dll和exe檔案,並將結果儲存到文件中,這樣我們開啟那個文件就能發現一些多出來的dll和exe檔案,然後通過檢視建立時間、版本、是否經過壓縮等就能夠比較容易地判斷出系統是不是已經中了dll木馬。

例,如上圖,建立測試用檔案

使用fc命令

開啟通過fc命令建立的文件,從中可以看到與之前列表檔案對比出來不同的內容。

使用shell指令碼輔助運維工作

儲存到 etc ethers檔案中,若此檔案已存在,則先轉移進行備份。每行一條記錄,第1列為ip位址,第2列為對應的mac位址。2 編寫乙個scanhost.sh的掃瞄指令碼,檢查有哪些主機開啟了ftp服務,掃瞄物件是 etc ethers中所有的ip位址。指令碼如下 root localhost ...

使用shell指令碼輔助運維工作 張九冫

編寫乙個getarp.sh的指令碼,記錄區域網內各主機的mac位址。儲存到 etc ethers檔案中,若此檔案已存在,則先轉移進行備份。每行一條記錄,第1列為ip位址,第2列為對應的mac位址。編寫乙個scanhost.sh的掃瞄指令碼,檢查有哪些主機開啟了ftp服務,掃瞄物件是 etc ethe...

Storm kafka flume運維命令

h0和h1上分別執行 zkserver.sh start 檢視zookeeper狀態 zkserver.sh status h0上執行 nohup storm nimbus nohup storm ui h1和h2上執行 nohup storm supervisor h0上執行 start dfs....