9,506
社区成员
发帖
与我相关
我的任务
分享怎么找到进程对应的可执行文件
我是研究僵尸网络的,windows编程菜鸟。我想对僵尸进程的PE文件进行分析。这个僵尸程序在任务管理器叫做WINUPDATE.EXE。通过getmodulefilenameex函数,得出WINUPDATE.EXE可执行模块在system32文件夹下。可是在这个文件夹下怎么搜索都搜索不到。在整个系统中搜索,只能搜到一个名字里有WINUPDATE.EXE的.pf文件。请问,怎么找到进程对应的可执行文件。
...全文
请发表友善的回复…
发表回复
mavis0129 2010-06-02
- 打赏
- 举报
分数挺少,感谢各位
就是just4 2010-06-02
- 打赏
- 举报
[Quote=引用 2 楼 mavis0129 的回复:]
感谢楼上的回复,你的方法我试过了,他还是显示在system32文件夹下,可是那个文件夹下确实没有这个文件。这个进程如果你把它关掉,那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中,呃,不懂这是为什么
[/Quote]
进程中就只有对应的命令行或映像路径,直接第三方进程查看工具也只能显示这些
[code=BatchFile]wmic process get processid,name,CommandLine,ExecutablePath[/code]
对于一般程序路径,直接进程中就可以查看
对于scvhost加载的服务对应的dll路径,直接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XXX查询
对于dll注入加载的dll路径,直接线程和模块查看工具查看,第三方工具可直接用process explorer
过了,直接全盘查找,或[code=BatchFile]dir c:\test.exe /s /a[/code]查找
"那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中"
对于命令行可加载的程序,直接输入:[code=BatchFile]where winupdate.exe[/code]即可查看到所有可执行路径
感谢楼上的回复,你的方法我试过了,他还是显示在system32文件夹下,可是那个文件夹下确实没有这个文件。这个进程如果你把它关掉,那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中,呃,不懂这是为什么
[/Quote]
进程中就只有对应的命令行或映像路径,直接第三方进程查看工具也只能显示这些
[code=BatchFile]wmic process get processid,name,CommandLine,ExecutablePath[/code]
对于一般程序路径,直接进程中就可以查看
对于scvhost加载的服务对应的dll路径,直接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XXX查询
对于dll注入加载的dll路径,直接线程和模块查看工具查看,第三方工具可直接用process explorer
过了,直接全盘查找,或[code=BatchFile]dir c:\test.exe /s /a[/code]查找
"那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中"
对于命令行可加载的程序,直接输入:[code=BatchFile]where winupdate.exe[/code]即可查看到所有可执行路径
古井荡月 2010-06-02
- 打赏
- 举报
可以用ARK工具,比如Wsyscheck,狙剑,冰刃……。现在有更新的有XueTr,天琊。
那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中。
要么是这个文件在system32文件下。
要么是这个文件在注册中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths新建了一个项。360就在这个位置新建了一个名为360safe.exe的项。装了360的用户,在运行输入360safe,就可以打开360.
那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中。
要么是这个文件在system32文件下。
要么是这个文件在注册中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths新建了一个项。360就在这个位置新建了一个名为360safe.exe的项。装了360的用户,在运行输入360safe,就可以打开360.
weishenmobuxing 2010-06-02
- 打赏
- 举报
文件夹选项=>查看=>高级设置中去掉“隐藏受保护的操作系统文件”和“隐藏已知文件类型的扩展名”选项,选中“显示隐藏的文件、文件夹和驱动器”,确定后再搜索查看。
或者干脆用:attrib -H -S -R c:\windows\system32\*.* /S /D /L 彻底做了它,再查。
或者干脆用:attrib -H -S -R c:\windows\system32\*.* /S /D /L 彻底做了它,再查。
爱上穿马甲的妞 2010-06-01
- 打赏
- 举报
是不是文件给设置成隐藏了,你显示隐藏,再看一下。
mavis0129 2010-06-01
- 打赏
- 举报
感谢楼上的回复,你的方法我试过了,他还是显示在system32文件夹下,可是那个文件夹下确实没有这个文件。这个进程如果你把它关掉,那在命令行下,不管什么路径下输入WINUPDATE.EXE,它都会重新出现在任务管理器中,呃,不懂这是为什么
ljc007 2010-06-01
- 打赏
- 举报
开始
运行
cmd
wmic process where name="WINUPDATE.EXE" get executablepath /value
运行
cmd
wmic process where name="WINUPDATE.EXE" get executablepath /value
