我的组织最近发现了恶意软件,这些恶意软件是通过电子邮件发送给某些用户的,这些恶意软件通过我们的电子邮件安全进行了复杂的有目标的攻击 这些文件的名称因用户而异,但我们收集了恶意软件文件中常见的MD5哈希列表。
只是在黑暗中拍摄 – 我想知道是否有一种方法来find基于他们的MD5散列文件,而不是他们的文件名,扩展等通过PowerShell ….或任何方法。 我们正在为我们的数据中心中的大多数服务器使用Windows 2012 R2。
当然。 尽pipe如此,你可能想要做比以下例子更有用的东西。
$evilHashes = @( '4C51A173404C35B2E95E47F94C638D2D001219A0CE3D1583893E3DE3AFFDAFE0', 'CA1DEE12FB9E7D1B6F4CC6F09137CE788158BCFBB60DED956D9CC081BE3E18B1' ) Get-ChildItem -Recurse -Path C:\somepath | Get-FileHash | Where-Object { $_.Hash -in $evilHashes } [String]$BadHash = '5073D1CF59126966F4B0D2B1BEA3BEB5' Foreach ($File In Get-ChildItem C:\ -file -recurse) { If ((Get-FileHash $File.Fullname -Algorithm MD5).Hash -EQ $BadHash) { Write-Warning "Oh no, bad file detected: $($File.Fullname)" } }
如果您有该文件的副本,则应该在整个域中激活AppLocker,并为该文件添加散列规则以停止执行。 这样可以识别正在尝试运行程序的计算机,因为默认情况下,AppLocker会logging阻止并拒绝操作。