通过开机启动项去分析服务器是否被植入木马

         我们可以通过开机启动文件,来进行查看自己是否中招,因为他如果这个开机启动文件或者程序,不是你自己设置的,那么很有可能你现在就需要对不是自己设置的这样一个开启启动程序,或者文件进行深入的分析检查,从而挖掘是否是一个对应的木马、或者是病毒等恶意程序。那在windows系统当中,我们可以通过以下三种方式来查看对应的开机启动项。首先我们可以通过启动菜单进行查看,那么也可以通过对应的系统配置MS config查找启动相关的内容进行查看。同时我们对应的注册表当中也会记录我们开机自启动的一些内容,我们可以通过这个键来查找对应的值,来挖掘是否存在开机自启动相关的内容。

那么下面,我们首先演示启动菜单,那么启动菜单是这样一个路径,在这样的路径当中,我们只有这个位置需要改变,这个位置代表的是我们当前的用户名,因为我当前用户名是administrator,所以说这里写为一个admin,trade如果你的用户名是一个其他内容,比如说admin,那么你这里需要书写的就是admin,那我们这里给大家进行查看,那么你可以打开对应的这个资源管理器,那么可以打开我电脑,然后在这里输入路径,然后直接回车就可以。

当然如果你不想这样,没有这个路径,那么或者向自己手工来寻找一下这个路径,你可以点击c盘然后,用户,然后点击administrator,那么在这里一般情况下它会隐藏APP data,大家也可以看到它是比较浅的一种颜色,那么它是一个隐藏文件,我们想将隐藏文件查看出来,那你选要点击组织,然后文件夹和搜索选项,那么在查看的位置是具有一个隐藏文件和文件夹的选项,那默认情况下它是一个不显示我们点击应用下,那么大家会发现APP data就不存在了,我们如果想将它显示出来,你需要点显示隐藏文件或文件夹和驱动器点击应用,可以看到APP date就在这里进行一个出现。

那么现在我们点击APP data,然后是一个对应的 ROA ming,这里是Rome,然后Micro thought,然后接下来是windows,我们点击开始菜单在程序这个位置,然后是在启动这个位置,那么这样就是一个完整的路径,就找到了我们启动加载的这样一个内容。那么对于这样一个内容来说,现在是没有任何内容。如果说这里有一个对应的比如说,这里是无法进行修改,对应的文件后缀名,因为它隐藏了对应的文件后缀名。同样我们想查看或者显示对应的隐藏文件名,大家可以点击组织在文件夹和文件夹选项,点击查看,在这里同样是具有一个隐藏已知文件类型的扩展名,我们点击一下勾选,然后应用。

分享: