資安事件為因蓄意行為、意外狀況、人為疏失,導致單位系統被駭客植入木馬程式、竊取資料、遭受阻斷式服務攻擊、實體破壞設等等破壞組識資訊通訊的事件。為了迅速抓出淺在電腦裡的木馬元凶,這裡提供簡單的檢測方法。
主機在乾淨且正常的狀態下備份
cd %systemroot%\system32
dir *.exe > c:\log\exeb.txt & dir *.dll > c:\log\dllb.txt
請自行將dllb.txt妥善保管好,執行一段時間後,當覺得主機怪怪的或有發現異常時,在備份一次(不同檔名或路徑)
dir *.exe > c:\log\exec.txt & dir *.dll > c:\log\dllc.txt
就可以比較前後兩次的檔案列表
fc c:\log\exeb.txt c:\log\exec.txt >> c:\log\diffe.txt && c:\log\dllb.txt c:\log\dllc.txt >> c:\log\diffd.txt
以上圖來說紅框的部分,就可以發現到有異常的程式在執行了。
沒有留言:
張貼留言