시나리오는 이렇게 진행됩니다. 컴퓨터가 랜섬웨어에 감염되어 다른 아무것도 할 수 없고 명령 프롬프트 창만 있습니다. 이제 문제 해결을 수행할 수 있는 가상 데스크톱을 실행하기 위해 키보드 조합을 사용하여 Desktops.exe를 자동 실행 프로그램으로 설정하려면 어떻게 해야 합니까?
답변1
첫째: 거꾸로 하고 있는 것입니다.
최우선 순위는 기계를 청소하는 것입니다.
이를 수행하는 유일한 확실한 방법은 복구 매체에서 부팅하고 거기에서 시스템을 검색/청소하는 것입니다.
하지만 때로는 선택의 여지가 없습니다. 예: 어떤 형태의 디스크 암호화를 사용하는 머신이 있어서 다른 미디어에서 부팅할 때 하드디스크에 접근할 수 없는 경우.
이 경우 "명령 프롬프트가 있는 안전 모드"로 부팅하십시오.
그런 다음 regedit를 실행하십시오(GUI가 있지만 당시 실행 중인 Explorer 셸은 없었습니다).
regedit에서 HKLM\Software\Microsoft\Windows\CurrentVersion\Run으로 이동합니다. 해당 키에 추가 항목으로 자동 실행 프로그램을 추가하십시오.
또는 REG.EXE 명령을 사용하여 명령줄에서 동일한 작업을 수행할 수 있습니다.
(실행 중인 동안 실행 키에서 다른 모든 항목을 제거하는 것이 좋습니다. 그 중 하나는 악성 코드의 일부일 수 있습니다. Regedit의 내보내기 기능을 사용하여 해당 항목을 파일에 임시로 저장할 수 있습니다.)
이에 대한 대안은 로그온 셸을 explorer.exe에서 파일 관리자(예: TotalCommander 또는 DirOpus)로 변경하는 것입니다.
자동 실행 항목을 추가하면 작동하지 않는 경우가 있지만 대체 셸을 사용하면 작동합니다.
이는 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon 키에 있습니다. 이를 위해서는 "Shell" 항목의 값을 변경해야 합니다(실행 파일의 전체 경로를 사용할 수 있음).
참고하세요악성 코드가 활성화된 동안 키보드 입력에 의존하는 추가 프로그램을 추가하면 작동하지 않을 수 있습니다. 악성 코드는 키보드 입력을 쉽게 가로채어 프로그램이 활성화되지 않도록 할 수 있습니다.
답변2
파일 열기:
openfiles /Query /FO:csv | more
NetBIOS 네트워크 열린 파일 보기:
net files
프로세스 명령줄, 캡션, Pid:
Wmic process get CommandLine, name, ProcessId | more
프로세스 경로, 캡션, Pid:
Wmic process get ExecutablePath, name, ProcessId | more
네트워크 활성 프로세스:
netstat -aon | findstr [1-9]\. | more
이름이 다음인 네트워크 활성 프로세스:
netstat -baon | more
직업 목록:
wmic job list STATUS
자동 실행 목록:
wmic startup list full | more
가져오기 dll 모듈 보기(Embarcadero 또는 Borland 버전):
tdump -w hal*.dll | find "Imports from "
모든 권한을 제거하고 사용자가 다음을 모두 비활성화할 수 있도록 허용합니다.
cacls <filename> /T /C /P %username%:N
지정된 프로세스와 해당 프로세스에 의해 시작된 모든 하위 프로세스를 종료합니다.
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T