计划任务排查
由于很多计算机都会自动加载“计划任务”,“计划任务”也是恶意病毒实现持久化驻留的一种常用手段,因此在应急响应事件排查时需要进行排查。通俗的讲会定期执行某些操作。
Windows计划任务排查
任务计划是Windows系统的一个预置实现某些操作的功能,利用这个功能还可以实现自启动的目的,获取任务计划的方法有以下几种:
-
打开【计算机管理】窗口,选择【系统工具】中【任务计划程序】中的【任务计划程序库】选项,可以查看任务计划的名称、状态、触发器等详细信息。
-
在命令行输入【schtasks】命令,可以获取计划任务的信息,它含有【at】命令行工具的所有功能,获取任务计划时必须要求是本地administrator组的成员。
遇到此问题,是因为cmd命令行使用的是中文的代码页。只需设置为英文的即可;
chcp 437
命令行的方式比图像化的方式更详细。
Linux计划任务排查
在Linux系统中,任务计划也是维持权限和远程下载恶意软件的一种手段。一般有以下两种方法可以查看任务计划。
Linux计划任务格式:
* * * * *
时 分 日期 月份 星期
0 */1 * * * : 每小时的0分钟进行操作;
10 1 * * *:每天一点十分进行操作。
-
在命令行输入【crontab -l】命令,可查看当前的任务计划,也可以指定用户进行查看,【crontab -u root -l】,可查看root用户的任务计划,以确定是否有后门木马程序启动相关信息。
-
在etc目录下的任务计划文件。一般在Linux系统的任务计划文件是以cron开头的,可以利用正则表达式的筛选出etc目录下的所有以cron开头的文件,具体表达式为/etc/cron*。
