






















https://www.virustotal.com
⚠️ 注意:上传的文件会被共享给安全厂商,敏感文件请只上传Hash值
获取文件Hash值:
# PowerShell 计算文件Hash
Get-FileHash C:\path\to\file.exe -Algorithm MD5
Get-FileHash C:\path\to\file.exe -Algorithm SHA256
或右键文件 → 使用 7-Zip 可直接查看CRC/SHA值
| 平台 | 地址 | 特点 |
|---|---|---|
| 微步云沙箱 | https://s.threatbook.com |
国内,中文,动态分析 |
| 奇安信情报 | https://ti.qianxin.com |
国内威胁情报 |
| Hybrid Analysis | https://hybrid-analysis.com |
免费沙箱动态运行 |
| Any.run | https://any.run |
可视化动态分析 |
| Joe Sandbox | https://joesandbox.com |
深度行为分析 |
右键文件 → 属性 → 数字签名
右键文件 → 属性 → 详细信息
检查以下字段是否正常:
💡 木马通常伪造或留空这些信息
任务管理器 → 性能 → 打开资源监视器 → 网络
或使用命令:
:: 查看所有网络连接及对应进程
netstat -ano
:: 查找对应PID的程序名
tasklist | findstr <PID>
🚨 发现程序在偷偷连接外网,高度怀疑是木马
下载微软官方工具:
https://learn.microsoft.com/sysinternals/downloads/procmon
运行后可监控程序:
https://learn.microsoft.com/sysinternals/downloads/autoruns
检查所有启动位置
├─ 注册表启动项
├─ 计划任务
├─ 服务
├─ 浏览器插件
└─ DLL劫持位置
💡 可直接右键提交到VirusTotal检测
使用工具:PEiD / Detect-It-Easy(DIE)
https://github.com/horsicq/Detect-It-Easy
可识别:
使用 CFF Explorer 或 PE-bear 查看导入的API:
| 可疑API | 说明 |
|---|---|
CreateRemoteThread |
注入其他进程 |
VirtualAllocEx |
远程分配内存 |
WriteProcessMemory |
写入其他进程内存 |
RegSetValueEx |
修改注册表(可能设置开机启动) |
URLDownloadToFile |
下载文件 |
ShellExecute |
执行命令 |
WSAStartup / connect |
网络连接 |
使用微软 Strings 工具:
strings.exe suspicious_file.exe
查找是否包含:
cmd.exe / powershell拿到可疑文件
│
▼
① 先算Hash → 去VirusTotal查询
│
├─ 已知恶意 → 🚨 确认木马,立即删除
│
├─ 未知文件 → ② 上传在线沙箱动态分析
│ │
│ 查看行为报告
│ │
│ ┌──────────┴──────────┐
│ 无异常行为 有异常行为
│ │ │
│ ▼ ▼
│ ③ 检查数字签名 🚨 高度怀疑木马
│ │
│ 签名正常且知名厂商
│ │
│ ▼
│ ④ 相对可信
│
└─ 仍不确定 → ⑤ 用虚拟机运行观察行为
1. 准备一个快照状态的虚拟机
2. 运行可疑文件前打快照
3. 运行文件并观察:
- 是否修改了注册表启动项
- 是否创建了新进程
- 是否有网络外联行为
- 是否修改了系统文件
4. 对比运行前后的系统变化
5. 分析完毕后恢复快照
| 场景 | 推荐方法 |
|---|---|
| 快速判断 | VirusTotal 上传Hash |
| 深度分析 | 微步/Hybrid Analysis 沙箱 |
| 本地检查 | Process Monitor + Autoruns |
| 安全测试 | 虚拟机隔离运行 |
| 进阶分析 | PE工具 + 字符串分析 |
💡 黄金原则: 不确定的文件,永远先在虚拟机或沙箱中测试,不要在真实系统中运行!
免责声明 本文档所有内容仅供安全研究、学术交流与技术学习使用,严禁用于任何未经授权的逆向破解、网络攻击、隐私窃取、恶意软件开发及其他违反《中华人民共和国网络安全法》《数据安全法》等法律法规的行为,使用者应确保已获得目标软件权利人的合法授权并自行承担因使用本文档内容所产生的一切法律责任与后果,作者不对任何直接或间接损害承担任何责任,继续阅读即视为您已知悉并同意上述全部条款。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。