欢迎来到我们课程,那么从本章节开始,我们将介绍windows系统相关的分析排查技术,我们首先来了解一下什么是windows分析排查,那分析排查是指对咱们windows系统当中对应的这个文件以及进程系统相关的一些信息,同时也会对日志记录进行对应的检测分析,从而挖掘咱们对应的这个 windows系统是否存在一些异常情况。那比如说咱们现在windows系统被我们这个hack加载了一个木马或者是病毒,那我们如何来查找我们windows系统是否存在对应的木马或者是病毒,那么我们就可以使用之后,我们介绍到的这个分析排查技术,来检测其中的这些相关的内容,来挖掘是否存在异常情况,针对这个异常情况逐渐深入来进行查看,最终找到异常情况存在的原因,从而找到我们对应病毒或者木马存放的位置,然后将它删除即可。
那我们分析排查,最主要的目的就是用来保护windows系统对应的安全。那接下来我们首先介绍第一个技术内容,也就是文件分析。我们要知道在windows系统当中,所有的这些程序了,还是对应的这个批处理等等一些内容,那么它都是以目这个文件的形式存放在window系统上,因此我们可以通过文件分析技术来找到我们对应木马或病毒等相关的这个恶意程序存放的位置,或者是它存在的一些异常行为。
那么例如我们对应的木马以及病毒等等一些恶意程序,它加载到计算机当中,更有可能的是在我们重新启动计算机之后,它依旧会存在计算机当中。因此一般情况下它都会加载到开机启动项当中,随着计算机的重启,那么它也会进行一个加载启动。因此对于这种加入到开机重启当中的这样一个病毒或者是木马恶意程序,你通过存储计算机是无法解决对应问题的。那咱们只有通过对应的这个分析技术来进行对应的这个查找,才可以对它进行一个根除。
那么对于开机启动文件来说,我们可以通过以下三方面来进行查看。当然如果你这个木马或病毒它没有显示的这种印象,那么比如说他在桌面创建无数个对应的窗口,那么你肯定就能认为自己是中招了,但是它一般情况下只会进行一个监听,不会给你发出任何的显示信息。那么因此我们直观的通过观察系统当中对应的桌面是否有变化的,情况是无法识别自己是否中招。