Diagnostica il possibile thread di svchost.exe su Windows 7

Naviga le tue risposte
2

Ho usato win64dd.exe per ottenere un'immagine di memoria su un computer a 64 bit con Windows 7 e Mandiant Redline ha analizzato l'immagine. Una delle cose contrassegnate in rosso era uno dei processi svchost.exe. Redline dice 

This process has a module which imports a suspicious Handle: (Process) hkcmd.exe
"svchost.exe has potentially spawned a command shell.  This is abnormal, and may be an
indicator of malicious activity.".

Come dovrei procedere da qui? Esiste un modo per esportare informazioni su questo processo e caricarlo su un sito Web per essere ulteriormente analizzato?

Avrò la scansione di Norton sul computer e vedrò se trova qualcosa (oltre al monitoraggio dei cookie).

    
posta yakiv 04.08.2012 - 04:58
fonte

1 risposta

1

Generare una shell di solito significa che qualcuno ha eliminato un exploit della shell rovesciata nel tuo processo.

Fai un dump della memoria del processo: 

procdump -mp <processID>

Ciò potrebbe portare a un sistema instabile, quindi salva il tuo lavoro e chiudi tutte le app.

Da lì, puoi caricare il dump in WinDbg e analizzarlo. Tuttavia, questo non è un processo banale - anche l'impostazione di WinDbg può essere un problema se non lo hai mai fatto prima. Se puoi caricarlo da qualche parte (dropbox pubblico?), Probabilmente posso dare un'occhiata e scoprire cosa sta succedendo.

    
risposta data 04.08.2012 - 10:24
fonte

Leggi altre domande sui tag

Sta creando un utente di database con restrizioni in Protocollo decente di Microsoft SQL Server Snort & Logging