Windows 2012 R2-使用MD5哈希搜索文件吗?

11

我的组织最近发现了恶意软件,该恶意软件是通过电子邮件发送给某些用户的,该电子邮件在一次复杂的有针对性的攻击中成功超过了我们的电子邮件安全性。文件的名称因用户而异,但是我们已经收集了恶意软件文件中常见的MD5哈希列表。

只是黑暗中的一枪-我想知道是否有一种方法可以通过PowerShell ...或任何方法根据其MD5哈希而不是其文件名,扩展名等来查找文件。我们将Windows 2012 R2用于数据中心中的大多数服务器。

windows  malware  search  hash  md5 
布兰登·韦特
source
但是在将服务器从主网络上断开之后,请执行此操作-毕竟,活动的恶意软件很糟糕。
Thomas Ward
你已经被妥协了。核对机器是唯一可以确保的方法。您怎么知道已经获得了将其彻底删除所需的所有文件?我认为不值得冒险。
jpmc26

Answers:

12

当然。不过,您可能想要做的事情比下面的示例还要有用。

$evilHashes = @(
    '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0',
    'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1'
)

Get-ChildItem -Recurse -Path C:\somepath |
    Get-FileHash |
        Where-Object { $_.Hash -in $evilHashes }
斯科特
source
9 
[String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5'

Foreach ($File In Get-ChildItem C:\ -file -recurse) 
{
    If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash)
    {
        Write-Warning "Oh no, bad file detected: $($File.Fullname)"
    }
}
瑞安·里斯(Ryan Ries)
source
9

如果您有文件的副本,则应在整个域中激活AppLocker并为该文件添加哈希规则以停止其执行。由于AppLocker日志默认情况下会阻止并拒绝操作,因此它具有识别正在尝试运行该程序的计算机的额外好处。

长颈
source
1
毫无疑问,这是真正的答案。
jscott
无论如何,applocker应该处于企业环境中。
Jim B
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.