恶意软件通过利用某些事件将自己附加到程序并传输到其他程序.他们需要这些事件发生,因为他们不能自己启动,使用非可执行文件传输自己并感染其他网络或计算机.
为了准备删除阶段,我们应该首先了解恶意软件正在使用哪些计算机进程来杀死它们.他们正在使用哪些流量端口来阻止它们?与这些恶意软件相关的文件是什么,因此我们有机会修复它们或删除它们.所有这些都包括一系列工具,可以帮助我们收集这些信息.
从上述结论中我们应该知道当一些不寻常的流程或服务由他们自己运行时,我们应该进一步调查他们与可能的病毒的关系.调查过程如下<
为了调查这些过程,我们应该首先使用以下工具 :
fport.exe
pslist.exe
handle.exe
netstat .exe
Listdll.exe 显示正在使用的所有 dll文件.带有变量的 netstat.exe 显示了使用各自端口运行的所有进程.以下示例显示了 Kaspersky Antivirus 的进程如何映射到命令netstat-ano以查看进程号.要检查它属于哪个进程号,我们将使用任务管理器.
对于Listdll.exe,我们从以下链接下载它 - https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx 我们可以运行它来检查哪些进程与正在使用的DLL连接.
我们打开CMD并转到Listdll.exe的路径,如下面的屏幕截图所示,然后运行它.
我们将得到如下屏幕截图所示的结果.
例如, dllhost.exe 正在使用PID 16320,其中包含描述 COM Surrogate 和在左边.它显示了这个过程显示的所有DLL,我们可以谷歌检查.
现在我们将使用Fport,可以从以下链接下载 - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx 使用端口映射服务和PID.
另一个用于监视服务并查看其消耗的资源的工具称为"Process Explorer",可以从以下链接下载 - https://download.sysinternals.com/files/ProcessExplorer.zip 并在下载后,你必须运行exe文件,你会看到以下结果 :
