情形
在应急中遇到服务器不能拖入工具进行分析的情况下,又想确认文件是否安全,这就需要提取进程对应的PE文件hash然后去威胁情报平台进行确认。
Ps:不能拖入工具的原因有很多,可能是服务器拖入数据拖出数据需要流程审批,可能是服务器已经被感染,可能是客户不允许这种操作,因此可以先了解一下现象后直接看看可疑进程、服务、启动项对应的一些程序文件。
Windows中有很多办法来计算文件hash,有Powershell会比较方便,但是例如在xp上就不一定那么好办了。
所以介绍一下 certutil 这个命令,它基本上支持Windows XP+ 操作系统,关于它的一些功能慢慢总结,它非常强大,还支持一些编码解码功能。
certutil -hashfile yourfile.exe MD5
certutil -hashfile yourfilename.exe SHA1
certutil -hashfile yourfilename.bin SHA256
提取出来的hash可到下面的平台查询:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
