瞎采新闻 Windows中病毒木马的时候,fonts目录是病毒木马最喜欢的藏匿点之一,但是你打开fonts文件后找不到病毒,这是因为fonts视图不是普通文件夹视图
如何变成普通文件夹视图?
文件夹特殊样式是靠文件夹里的desktop.ini控制的,只要删了desktop.ini即可
cmd命令行执行del c:windowsfontsdesktop.ini再打开文件夹按类型排序查看.exe就能看到病毒木马文件了
获取字体目录里异常进程的命令如下(结果集里并不都是病毒,命令的作用是排除掉字体文件把剩下的文件列出来)
wmic datafile where "drive='c:' and path='\windows\fonts\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name
wmic datafile where "drive='c:' and path='\windows\fonts\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified
第2条命令比第1条多了CreationDate,LastAccessed,LastModified
wmic datafile where "drive='c:' and path='\windows\fonts\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /value
第3条命令是把每一个匹配到的文件按列值以文件维度逐个打印
下面这条命令效果跟第3条命令一样
wmic datafile where "drive='c:' and path='\windows\fonts\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /format:list
注意看最后一个参数/format:后面跟的值
/format:csv
/format:hform
/format:htable
/format:list
/format:rawxml
/format:table
/format:texttable
/format:value
/format:texttablewsys
/format:wmiclimofformat
/format:wmiclitableformat
/format:wmiclitableformatnosys
/format:wmiclivalueformat
根据自己的需要选择
接下来举个藏匿在fonts文件夹的例子:
从services.msc服务列表里看很容易漏掉这个服务,藏匿得太像正常服务了,上面的是挖矿病毒,下面的才是正常服务
用杀毒软件处理完毕后,需要手动执行sc delete RpcEptManger从服务列表删除掉这个异常服务
---来自腾讯云社区的---我爱你的一诺
微信扫一扫打赏 
支付宝扫一扫打赏