排察重點 - daniel-qa/Information-Security GitHub Wiki
排察重點
| 工具名稱 | 功能描述 | 狀態 |
|---|---|---|
services.msc |
查看是否註冊成服務 | |
| Autoruns | 查看所有啟動方式(最重要) | |
| 任務管理員 → 開機 | 查看開機自動啟動項目 | |
| Process Explorer | 查看目前執行中程式詳細來源與相依 DLL |
- 服務,找到可疑的手動觸發
查看: 工作排程器(Task Scheduler):
輸入:工作排程器 或 task scheduler
taskschd.msc
打開之後,你可以從左側的資料夾清單中找出所有已註冊的任務,特別檢查:
是否有陌生任務名稱(如 Plan9、Netman、9p、fileserver 等)
查看任務的「觸發條件」與「動作」頁面,看它何時啟動、執行什麼
再由"動作"中,找出檔案,查看裡面是否有"數位簽章"
有,才是安全的,像"微軟"; 沒有的話,禁用,刪除,以策安全
用指令檢查→ 數位簽章
使用 PowerShell:
Get-AuthenticodeSignature "C:\路徑\程式.exe"
- 可以透過「任務管理員」裡的「開機」頁籤來查看有哪些程式會在開機時自動啟動。
0 . 關閉防火牆所有輸入輸出/規則
1 . 要先檢查系統"服務","啟動"項目
是否有數位簽章
2 . 檢查排程,是否有不明排程
- 不明服務的處理
如果你在 服務 (services.msc) 或啟動項目中看到 "Dell Client Management Service",但其製造商欄位顯示為「不明」或「未知(Unknown)」,這不一定代表它是惡意程式,但有幾個可能性與建議如下:
使用 Task Manager → 服務 → 開啟服務詳細內容
或在 services.msc 中:
找到 Dell Client Management Service
右鍵 → 內容
查看「可執行檔路徑」(Path to executable)