针对挖矿木马常用工具有如下几个:
1. ProcessExplorer
ProcessExplorer是进程管理工具,它能管理隐藏在后台运行的程序,可监视、挂起、重启、强行终止任何程序,包括系统级的不允许随便终止的关键进程等。
ProcessExplorer的主要特点如下。
- 可显示被执行的映像文件的各种信息。
- 可显示进程安全令牌和权限。
- 可加亮显示进程和线程列表中的变化。
- 可显示作业中的进程,以及作业的细节。
- 可显示NET、WinFX应用的进程,以及与NET相关的细节。
- 可显示进程和线程的启动时间。
- 可显示内存映射文件的完整列表。
- 能够挂起一个进程。
- 能够杀死一个线程。
- 能够在Virus Total查询该进程对应文件的安全性。
ProcessExplorer的常用功能如下。
查看父子进程
打开工具,可以查看进程的父子关系。
查看进程属性
- 详细进程查询
- 网络连接查询
- 进程权限查询
2. PCHunter
PCHunter是一个功能强大的Windows系统信息查看软件,同时也是手工杀毒软件,它不但可以查看各类系统信息,还可以查出计算机中潜伏的挖矿木马。PCHunter使用了Windows内核技术。
挖矿木马应急响应中的常用功能如下。
查看进程签名
工具会自动将不同签名进程进行分类,并用不同的颜色区分,包括微软签名、非微软签名、无签名,通常重点关注无签名的进程。使用PCHunter查看进程签名如同所示。
针对提示可疑的进程,需要做进一步验证。右击进程,在弹出的快捷菜单中选择【查看进程模块】选项,如下图所示,打开【进程模块】窗口。
在【进程模块】窗口中,右击选择【校验所有数字签名】选项,进行查询,如下图所示,确认是可疑模块后可提取文件进行样本分析。
查看网络连接
可查看网络连接对应的程序,如图所示。
文件操作
可查看设置了隐藏属性的文件,如图所示。
3. 金山毒霸隐蜂挖矿病毒专杀工具
金山毒霸隐蜂挖矿病毒专杀工具是金山毒霸推出的一款专杀挖矿木马病毒的软件。金山毒霸首家支持对“隐蜂”Bootkit挖矿木马的查杀防御,并在详细分析病毒行为后,第一时间推出了“隐蜂”Bootkit挖矿病毒专杀工具,以控制该病毒再次传播。
- 软件净化
电脑下载软件的时候经过净化,发现软件中包含的流氓软件。
- 闪电查杀
在长时间的扫描结束之后,快速杀掉文件中发现的病毒。
- 系统兼容
兼容Windows的主流系统,优化后性能有所提升。
- 安全好用
不用安装软件,直接在电脑中运行即可,不会采集用户的信息。
针对挖矿木马常用工具有如下几个:
ProcessExplorer:ProcessExplorer是进程管理工具,它能管理隐藏在后台运行的程序,可监视、挂起、重启、强行终止任何程序,包括系统级的不允许随便终止的关键进程等。
PCHunter:PCHunter是一个功能强大的Windows系统信息查看软件,同时也是手工杀毒软件,它不但可以查看各类系统信息,还可以查出计算机中潜伏的挖矿木马。PCHunter使用了Windows内核技术。
金山毒霸隐蜂挖矿病毒专杀工具:金山毒霸隐蜂挖矿病毒专杀工具是金山毒霸推出的一款专杀挖矿木马病毒的软件。金山毒霸首家支持对“隐蜂”Bootkit挖矿木马的查杀防御,并在详细分析病毒行为后,第一时间推出了“隐蜂”Bootkit挖矿病毒专杀工具,以控制该病毒再次传播。
360安全卫士:360安全卫士是奇虎360推出的一款Windows、Linux及Mac OS操作系统下的电脑安全辅助软件。360安全卫士拥有电脑体检、木马查杀、系统修复、清理垃圾、优化加速、软件管家等多种功能。360安全卫士独创了“木马防火墙”“360密盘”等功能,依靠抢先侦测和云端鉴别,可全面、智能地拦截各类木马,保护用户的帐号、隐私等重要信息,360安全卫士使用极其方便实用。