那么当然咱们接下来,先不介绍对应的工具和在线网站来进行分析,我们直接来介绍一个对应的fight的命令,这是一个cmd命令,那么这个命令可以输入find斜杠问号输出它的帮助信息。那么在这里我们将使用c以及n以及I这样三个参数来指定筛选出我们具体文件当中所包含关键字对应的行。
那我们要知道,我们1.ASP,而这里我们是要筛选出EMAIL这样一个关键字,如果包含URL,那么它就会输出我们在文件当中具体的行,然后是对应的参数c它表示仅显示包含字符串的函数,那么n然后是对应的显示行号,I表示忽略大小写,那么EMAIL这里的字符无论是变为大小小要写它都是一样的,然后寻找具体的文件,那么在这里我们可以右键属性查看对应的这个文件路径,就可以找到对应的文件,那么我们在这里回车就可以找到我们在1.ASP当中具体的一行,也就是第一行当中,具有我们对应的EMAIL,那么此时我们就可以打开查看第一行。
那么我们就发现它是一个一句话webshell,那么我们就明确它是一个webshell,那么我们就可以对它进行一个删除,那比如说1.ASP右键,然后删除是那么这样就完成了我们删除webshell的一个操作。那么我们可以看到,咱们最近打开文件对应的这个分析非常重要,可以找到我们最近使用的一些程序,尤其是找到我们某些时间段,使用过的程序都在这里可以进行展现, recent是最近的一个含义,它可以根据具体日期来进行一个筛选。
那么以上就是咱们本节课关于文件分析,最近打开文件分析的一个介绍。那咱们先到这里,再见。那么接下来我们来介绍进程相关的分析,我们将对可疑进程进行对应的发现并进行关闭。咱们要知道在计算机当中,咱们要想与外部建立网络通信,那么首先它要依赖于两个协议是TCP和udp,那我们对应的每一次建立通信,那么都需要具有不同的端口,那么是在0~6535之间,也就是说咱们计算机与外部进行网络连接,首先要具有一个IP地址,那么IP地址是在我们对应TCP和udp之上工作的,那么之后TCP和udp分别使用不同端口代表不同的进程,然后不同进程的通信通过IP地址在网络当中来进行互联。