恶意软件检测与时间线分析全解析
1. 恶意软件检测
在Windows系统中,检测恶意软件是一项具有挑战性的任务。我们可以从多个方面入手,寻找恶意软件感染的迹象。
-特定用户配置文件关联检查:关注与“Default User”或“LocalService”用户配置文件相关的内容,这在许多疑似恶意软件的案例中是值得检查的点。
-其他检测机制
-异常计划任务:查看任务目录中的实际.job文件,或者计划任务日志文件(“SchedLgU.txt”)。使用原生 “at.exe” 实用程序创建的计划任务常被入侵者用于安装恶意软件或执行其他进程。由于在大多数基础设施中,“at.exe” 不常用于日常系统管理,所以像 “at1.job”、“at2.job” 等计划任务的存在值得进一步调查。
-系统事件日志:检查系统事件日志,查看是否有使用用户安全标识符(SID)而非系统 SID 启动服务的迹象(事件 ID 7035)。通常服务由 LocalService(SID: S - 1 - 5 - 19)或 NetworkService(SID: S - 1 - 5 - 20)等账户启动,因此由用户账户启动的服务,特别是 PSExecSvc 服务,需要重点关注。此外,系统启动数小时或数天后启动的服务也可能存在可疑情况。
-特定文件夹:临时目录,如 Windows 临时目录(“C:\Windows\Temp”)或用户配置文件中的临时目录;任务文件夹(“C:\Wi
