admin | 世界杯冰岛
本章节介绍如何通过Windows官方进程排查木马程序。
前提条件
推荐下载“ProcessExplorer”软件。
操作步骤
打开“ProcessExplorer”文件夹,双击“procexp64.exe”文件。
图1 processExplorer
在弹出的对话框中,单击“Agree”,查看进程信息,在线排查进程。
图2 查看当前进程
在上方的菜单栏中,选择“Options > VirusTotal.com”,勾选“Check VirusTotal.com”和“Submit Unknown Executables”。
图3 options > VirusTotal.com
此时,系统会将当前进程的hash值同virustotal库比对,可快速发现木马进程。
图4 Process Explore-Sysinternals
检查“VirusTotal”值,右键单击进程名称,选择“Properties”,在弹出的页面中,单击“Image”可查看进程路径,进而再次判断该进程是否是木马程序。
图5 判断是否为木马程序