我們在尋找可疑程式或檔案時,看到工作管理員或其它第三方工具檢視正在執行的程序,往往最多的程序執行位置落在 C:\Windows\System32,但是這麼多的程序又不知道到底是不是 Windows 自身的程式還是被人惡意放入在該位置執行的,您或許會調查他的數位簽章,可是 System32 裡的程式並不是每個都有簽章,那我們該如何判斷該程序是否是 Windows 自身的程式,我提供一個方向讓大家可以參考看看。
據我所知道的在 C:\Windows 這目錄底下包含子目錄的執行程式(.exe),它的可完整操作權限使用者名稱為:Trusterinstaller,他可以完全控制、修改、執行、讀取、寫入,但其他使用者權限如:SYSTEM、Administrators、Users 只能執行與讀取,我們可以進入到 C:\Windows 這目錄找一隻執行程式(.exe),按右鍵 > 內容 > 安全性看看他的權限結構,如圖:
如果不是 Windows 自身程式進入到 C:\Windows 這目錄底下的話權限結構會如下圖:
從上面所看到的,要是非 Windows 自身執行程式進入到該目錄,第一他沒有 Trusterinstaller 這使用者權限,第二他的SYSTEM、Administrators的權限是完全控制的,我們就能以這權限差異來判斷是否更進一步解析這支可能是不正常程式。
其實我之前在調查惡意程式的案例中,其中有一件就是在受害端電腦裡找到那支藏在 C:\Windows\System32 底下的惡意程式,我還特別去解析他的 PE 格式,裡面還有他 Debug 檔案路徑位置,還滿有趣的,這只是我的調查經驗分享給大家。
要是對這些鑑識調查系統資訊模組或工具製作有興趣,可以到粉絲團 facebook.com/rexlintechnology 跟我留言或聯絡,不吝嗇給個讚跟追蹤吧!
相信你會喜歡,一起來看看吧! https://ysenw.com/ https://ysenw.com/index.php/category/product-usage/ https://ysenw.com/index.php/category/product-ingredients/