Windows服务器中毒或被入侵的快速诊断.pdf

希望对大家有所帮助，多谢您的浏览！

Windows服务器中毒或被入侵的快速诊断

当业务迁移上云后，会面临更高的安全挑战。特别是对于Windows服务器，由于攻击

门槛低，可能会遭遇病毒或被入侵等安全风险。系统中毒或被入侵后，通常会导致系统报错、

负载异常、无法远程、业务不稳定等诸多不可控问题。本文结合阿里云大量相关案例的处理

经验，介绍如何快速的诊断和处理该类问题。

一、处理思路

判断系统是否有中毒或被入侵的迹象，是此类问题处理的关键。完整的处理思路如下图

所示：

中毒或被入侵问题处理思路

二、快速诊断方法

可以结合如下三种方式进行快速诊断分析，用以判断系统是否有中毒或被入侵迹象。本

文不会涉及更多深入的安全排查和诊断方法的讨论。

1/9

希望对大家有所帮助，多谢您的浏览！

1.可疑文件诊断分析（4W1H）

可以通过如下4W1H法来对可疑文件进行快速诊断分析。

注意：操作前，请先设置显示所有文件（包括受保护的系统文件）和显示文件后缀，

相应配置方法本文不再详述。

What—文件类型是什么？

病毒或木马文件一般都为可执行文件。所以，排查时，请重点关注后缀为如下类型的文

件：

exe：Windows可执行文件

bat：批处理文件

com：DOS可执行文件

vbs：Windows脚本

说明：，这只是一种简单的判断方法，因为文件后缀可以随意修改，无法真实反应出文

件类型。

Where—文件在哪？

病毒或入侵者通常会在系统目录生成病毒或木马文件，并设置隐藏属性。诊断时，可依

次到如下目录排查可疑文件（再次提醒，注意显示隐藏文件）：

C:\根目录

C:\Windows目录

C:\Windows\System32目录

C:\Windows\Temp目录

C:\Users\用户名\AppData\Local\Temp目录（用户缓存目录）

When—文件是什么时候创建的？

病毒或木马是在系统创建之后修改或生成的。所以，可以通过对比文件的【修改时间】

来甄别可疑文件。如下图所示，进入前述系统目录后，点击【修改时间】列，按修改时间进

行倒序排序，然后对比正常系统文件的修改时间来甄别可疑文件。

2/9

希望对大家有所帮助，多谢您的浏览！

对比文件修改时间来甄别可疑文件

Who—文件名是什么？

常见病毒或木马文件的文件名可能具有如下特征。可以据此甄别可疑文件：

随机字母和/或数字组合：病毒或木马通常会自动复制，然后在系统目录使用随机

字母和/或数字生成副本。比如：2gpjNw.exe，kuUYjp.exe，zJ5NQD.exe等。

易与系统文件混淆：病毒或木马为了伪装，可能会使用与系统近似的文件名来混淆

用户。比如：exp1orer.exe（正常文件名为explorer.exe），svch0st.exe（正常

文件名为svchost.exe）等。

Ho—如何综合判断？

最终，综合前述几个维度，可以使用一台正常服务器做对比，在相关系统目录下，根据

文件类型、文件属性（是否隐藏）、文件修改日期、文件名称等因素，共同分析判定可疑文

件。

3/9

希望对大家有所帮助，多谢您的浏览！

疑似病毒或木马的文件示例

2.可疑启动项诊断分析

病毒或木马通常会将自身配置为开机自动启动。可以通过如下方法来排查可疑启动项。

使用msconfig实用程序分析

通过Windows系统自带的msconfig实用程序，可以查看系统自启动项。

用法：开始菜单运行