如何 快速发现Windows中毒（win7怎么判断中毒）

Process Explorer

这个工具就像ctrl + alt + delete，而最新版则可以支持提交运行程序散列到VirusTotal用于识别功能。想要开启它，你需要去视图(View)→选择列(Select Columns)，然后查看VirusTotal box继续选择选项(Option)→VirusTotal.com→检测(Check)VirusTotal.com并选择同意条款。很明显，你需要有一个活跃的网络链接。而想要找到问题，只需要查看VirusTltal列中红色评级的部分。

下载链接

Autoruns

Autoruns for Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件，它能用于显示在 Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们，例如那些在“启动”文件夹和注册表相关键中的程序。

选择选项按钮→扫描功能→检查VirusTotal.com然后单击重新扫描。已知的病毒会以高于0检测率的水平弹出，即使病毒没有被识别出，还是很容易通过一些奇怪的名称或者红色警戒提示而发现他们，如下图所示。

下载链接

打开管理员命令提示符并输入以下内容：

reg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" shimcache.reg

然后把你存放Mandiant脚本的文件解析出来：

python shimcacheparser.py -o output.csv -r shimcache.reg

这将生成输出一个.csv文件，你应当按日期或者文件夹名称排序，然后分析那些名称奇怪的可执行文件。特别值得注意的是，用户临时、桌面以及下载的文件，这些都是我经常发现有中毒的地方。通常人们会下载一些垃圾邮件exe，在桌面运行然后放一些东西到应用数据、本地、临时文件中。这结果应该是显而易见的，因为同时会有存在问题名称的几个条目。这里有一个ShopAtHome广告软件的例子。

07/14/09 01:16:17 N/A C:\Program Files\Common Files\System\wab32.dll,N/A,False

07/14/09 01:15:38 N/A C:\Windows\System32\mf.dll,N/A,False

03/21/14 21:13:42 N/A C:\Program Files\Common Files\VMware\Drivers\vss\comreg.exe,N/A,True

03/21/14 20:22:54 N/A C:\Program Files\VMware\VMware Tools\TPVCGateway.exe,N/A,True

03/21/14 20:22:54 N/A C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe,N/A,True

07/14/09 01:14:29 N/A C:\Windows\system32\printui.exe,N/A,True

07/14/09 01:14:23 N/A C:\Windows\System32\mctadmin.exe,N/A,True

07/14/09 01:14:30 N/A C:\Windows\System32\regsvr32.exe,N/A,True

07/14/09 01:14:45 N/A C:\Program Files\Windows Mail\WinMail.exe,N/A,True

07/12/09 07:55:40 N/A c:\a8bae8b25b3310ea7c\install.exe,N/A,True

01/25/15 16:08:10 N/A C:\Users\IEUser\AppData\Roaming\ShopAtHome\ShopAtHomeHelper\Exec.exe N/A True

01/25/15 16:08:36 N/A C:\Users\IEUser\AppData\Roaming\ShopAtHome\ShopAtHomeToolbar\ShopAtHomeHelperInstaller.exe N/A True

01/25/15 16:08:14 N/A C:\Users\IEUser\AppData\Roaming\ShopAtHome\ShopAtHomeHelper\RibbonConfig.exe N/A False

08/14/14 13:08:10 N/A C:\Users\IEUser\AppData\Local\Temp\{7EAD7ED1-4F98-47EA-AF3E-1652458B1DFD}~setup\vcredist_x86.exe,N/A,True

08/14/14 13:08:01 N/A C:\Users\IEUser\AppData\Local\Temp\vmware-IEUser\00000265\setup.exe,N/A,True

07/14/09 01:14:28 N/A C:\Windows\System32\powercfg.exe,N/A,True

08/14/14 12:46:50 N/A C:\Users\IEUser\AppData\Local\Temp\upgrader.exe,N/A,True

08/14/14 12:46:50 N/A C:\Users\IEUser\AppData\Local\Temp\storePwd.exe,N/A,True

08/14/14 12:46:50 N/A C:\Users\IEUser\AppData\Local\Temp\unattendNaNd,N/A,False

07/14/09 01:14:23 N/A C:\Windows\system32\mcbuilder.exe,N/A,True

07/14/09 01:14:46 N/A C:\Windows\system32\winsat.exe,N/A,True

07/14/09 01:14:28 N/A C:\Windows\system32\oobe\oobeldr.exe,N/A,True

07/14/09 01:14:25 N/A C:\Windows\system32\oobe\msoobe.exe,N/A,True

UserAssist

这个工具可以查询Windows被浏览器执行的文件列表。这个简单工具可以来用运行以及形象化的检查输出，发现任何奇怪的地方了吗？这里有一个我从Payload Security中找到的感染实例。

下载链接

Process Hacker

类似于Process Explorer以及其他同样的东西，但是我最喜欢Process Hacker的一个功能就是标记恶意程序的过程非常迅速。关闭所有的程序，然后在视图菜单中检查“Hide Signed Processes”，经常这么做会让列表中仅剩下恶意执行文件。(在Process Explorer中这么操作：选项→验证图像签名，然后查看是否签署)。这里有个恶意软件的例子。

下载链接

Process Hacker同时附带了一个你所能找到的最优秀的程序杀手，点击进程，单击杂项(Miscellaneous)→终结者(Terminator)。这个功能将会尝试越来越多疯狂的事情，包括将垃圾信息写到内存中。

分析提示

在Process Explorer中，右键单击一个进程，打开属性然后选择标签的字符串。或者，在Process Hakcer中，右键单击恶意进程，选择属性→内存选项卡→单击字符串按钮→单击默认值OK。你会获得来自内存运行进程中的字符串，几乎总是包括了命令和控制地址，告诉你该屏蔽以及回调的内容或类型。在以上恶意软件中，你能看到多个IP地址，以及这样一个事实：这将至少尝试一个HTTP POST请求，或者看起来像的什么东西。你将拥有一个简易的输入/输出控制器，用于寻找是否有其他人感染了相同病毒。

FreeBuf.COM