假设在客户现场做安全运营时,出现以下场景:

客户内部网络检测到一台主机可能中了恶意的远控木马。有主机跟恶意的IP进行通信。

但是客户现场没有相关的安全流量检测设备。无法通过流量日志进行溯源。但是在防火墙上可以看到该电脑还在持续跟恶意ip进行数据通信。

这种情况下,可以在电脑上面可以通过安装抓包软件《whireshark》或《火绒剑》进行定位恶意文件具体位置。这里仅演示火绒剑定位恶意文件过程。
火绒剑.png

点击系统-过滤-日志过滤
去掉图中所圈起来的模块(执行监控、文件监控、注册表监控、进程监控、行为监控),只勾选网络监控。
2.png

然后在路径中找到恶意的IP地址。右键,查看进程信息,即可得到恶意文件路径地址
3.png

5.png

最后编辑:2022年03月01日 ©著作权归作者所有

发表评论