本帖最后由 王 于 2023-8-30 15:45 编辑
实验环境:1. 操作系统:win7 2. 失陷服务器远程桌面地址172.16.1.[1-33],用户名:administrator,密码:561468 实验要求:1. 主机一共感染了4个病毒,需要学员自行找出这四个病毒并彻底清除(找到进程、文件、维持持久项) 2. 需要学员分析windows日志找到感染原因 实验步骤:一、主机加固: 安装WannaCry免疫工具
对操作系统进行疫苗免疫
二、处置
1. powershell无文件挖矿处置: 检测powershellbase64编码找到一个恶意URL关闭进程、启动项,备份并删除info6.ps1文件
2. WannaMine4.0挖矿处置: 查询CPU占用率发现有一个进程占用率非常高,找到文件并放到微云中检测是一个挖矿病毒文件,关闭进程、启动项,备份并删除WindowsProtocolHost.dll文件,最后时间修改是2009/7/14 9:14 3. WannaCry2.0蠕虫处置:
在网络内[/1-33] 试读已结束,请付费阅读全文。 ¥ 3.00 付费阅读 本文只能试读34%,付费后可阅读全文。 | 
私信
