蓝队快速识别隐藏恶意文件的 20个文件特征及查找方法总结

华盟君华盟君 渗透测试 8 月前
1.90W 0
华盟原创文章投稿奖励计划

在应急响应现场,蓝队最核心的任务之一就是快速定位隐藏的恶意文件。这些文件往往披着系统文件的外衣、藏在深层目录中,或通过技术手段伪装自身,稍有疏忽就会成为后续反复感染的隐患。结合实战经验,我们总结出20个最易识别的恶意文件特征及对应的查找方法,涵盖Windows和Linux系统,每个方法都经过真实场景验证,可直接落地操作。

一、文件名与路径特征:从“名字”看穿伪装

恶意文件最爱用“障眼法”,但文件名和存放路径的细节总能暴露破绽。

1. 文件名模仿系统文件但存在字符差异

特征:文件名与系统关键进程高度相似,通过替换字母、增减字符伪装,如“svch0st.exe”(数字0替代字母o)、“explore.exe”(少一个r)、“lsasss.exe”(多一个s)。
查找方法

  • • Windows系统:在C:\Windows\System32\和C:\Windows\SysWOW64\目录下执行dir /b *.exe | findstr /i "svchost|explorer|lsass",对比正常文件名(如“svchost.exe”),通过肉眼识别字符差异;
  • • Linux系统:在/usr/bin//usr/sbin/目录执行ls | grep -E "systemd|sshd|crond",检查是否有“systemd_”“sshd32”等异常衍生名。

实战案例:某挖矿病毒将自身命名为“systemd-resolvee”(多一个e),放在/usr/sbin/下,通过与正常系统的“systemd-resolved”对比,30秒内即可识别异常。

2. 文件名包含随机字符串

特征:文件名由无意义字母数字组合而成,如“a3f7d9x.exe”“xq298yt.dll”,常见于勒索病毒和挖矿程序。
查找方法

  • • 使用PowerShell筛选长度超过8位且无规律的文件名: 

    Get-ChildItem -Path C:\ -Include *.exe,*.dll -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.Name -match '^[a-zA-Z0-9]{8,}$' } | Select-Object FullName
  • • Linux系统可执行: 

    find / -name "[a-zA-Z0-9]{8,}.*" 2>/dev/null

注意:部分合法程序(如临时文件)也会用随机名,需结合路径进一步判断(如出现在/tmp/C:\Users\Public\下风险更高)。

3. 路径存在异常嵌套或深层目录

特征:恶意文件常藏在多层嵌套目录中,如“C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\”,或非标准系统目录(如“D:\Recovery\oem\”“/var/lib/docker/overlay2/”下的不明文件)。
查找方法

  • • Windows通过dir /s /b C:\ | findstr /i "ProgramData\\Temp\\.*\\.*\\.*"筛选三级以上深层目录文件;
  • • Linux执行find / -maxdepth 10 -type f | grep -E "/.*/.*/.*/.*/.*/",重点关注超过5层的目录。

案例:某APT攻击样本藏在“/usr/share/doc/libpng16-16/examples/old/”下,该路径虽属系统目录,但“examples/old”为非标准子目录,通过深度筛选快速定位。

4. 隐藏在系统备份或恢复分区

特征:利用用户对“恢复分区”的忽视,将恶意文件放在“C:\Recovery\”“/boot/efi/”等分区,且多设置为隐藏分区。
查找方法

  • • Windows通过diskpart命令查看所有分区:执行list volume,找到“隐藏”属性的分区,分配盘符后查看内容;
  • • Linux通过lsblk确认所有磁盘分区,执行mount /dev/sda3 /mnt(sda3为隐藏分区)后检查/mnt目录。

二、时间戳特征:从“时间”发现异常

系统文件的创建、修改时间有规律可循,恶意文件往往在时间维度露出马脚。

5. 时间戳与系统安装时间矛盾

特征:系统目录下的文件(如“C:\Windows\System32\”)创建时间晚于系统安装时间,或早于系统发布时间(如Windows 10系统中出现2000年创建的“system.dll”)。
查找方法

  • • 先确认系统安装时间:Windows通过systeminfo | findstr "初始安装日期",Linux通过ls -l /var/log/installer/查看日志时间;
  • • 再筛选系统目录中时间异常的文件: 

    # Windows示例 Get-ChildItem C:\Windows\System32\ -File | Where-Object { $_.CreationTime -lt (Get-Date "2020-01-01") } | Select-Object Name,CreationTime

注意:系统更新会产生新文件,需排除C:\Windows\WinSxS\等更新目录。

6. 修改时间与访问时间倒置

特征:正常文件通常“创建时间≤修改时间≤访问时间”,恶意文件可能因被篡改出现“修改时间早于创建时间”(如“2023-10-01创建,2023-09-01修改”)。
查找方法

  • • Windows用PowerShell对比: 

    Get-ChildItem C:\ -File -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.LastWriteTime -lt $_.CreationTime } | Select-Object FullName, CreationTime, LastWriteTime
  • • Linux通过find命令: 

    find / -type f -printf "%p %Cw %Cr\n" | awk '$2 > $3'

7. 批量文件时间戳高度一致

特征:同一目录下多个文件的创建/修改时间完全相同(精确到秒),通常是恶意程序批量释放的文件(如勒索病毒加密前生成的临时文件)。
查找方法

  • • Windows执行dir /tc C:\Temp\(按创建时间排序),观察是否有连续文件时间完全一致;
  • • Linux用ls -l --time-style=full-iso /tmp/,筛选时间戳相同的文件。

案例:某勒索病毒会在“C:\Users\Public\”生成10个加密密钥文件,时间戳均为攻击发起时间,通过批量时间筛选5分钟内即可定位。

三、权限与属性特征:从“权限”识别异常

恶意文件的权限设置往往与系统文件不符,或通过特殊属性隐藏自身。

8. 权限设置异常(过高或过低)

特征:普通用户目录下的文件拥有“管理员权限”,或系统目录下的文件仅“Users组”可写(如“C:\Windows\”下的文件权限包含“Everyone: 完全控制”)。
查找方法

  • • Windows通过icacls命令检查: 

    icacls C:\Windows\System32\*.exe | findstr /i "Everyone.*F"
  • • Linux通过ls -l查看,重点关注-rwxrwxrwx(777权限)的系统文件: 

    find /bin /sbin /usr/bin -perm -0007 -type f

9. 隐藏属性与系统属性混用

特征:同时设置“隐藏”和“系统”属性(attrib +h +s),且不在默认系统隐藏文件列表中(如“C:\Windows\system.ini”是正常隐藏文件,而“C:\Windows\sys.ini”则可能异常)。
查找方法

  • • Windows执行dir /ah /as C:\Windows\,列出所有隐藏+系统属性文件,与干净系统对比差异;
  • • Linux通过ls -la查看带“.”前缀的隐藏文件,执行find / -type f -name ".*" ! -path "/home/*/.bash*"排除正常隐藏文件(如.bashrc)。

10. 利用交替数据流(ADS)隐藏

特征:在Windows中通过ADS技术将恶意文件附加到正常文件后,如“normal.txt:malware.exe”,直接查看无法发现,需特殊命令识别。
查找方法

  • • 执行dir /r C:\Users\,若文件后显示“:以外的数据流(如DATA”),即为异常;
  • • 通过streams.exe(Sysinternals工具)扫描:streams.exe -s C:\

四、内容与行为特征:从“内容”锁定恶意性

即使文件名和路径正常,文件内容或关联行为也能暴露恶意本质。

11. 文件头与扩展名不符

特征:扩展名是“txt”但实际为可执行文件(文件头为“MZ”),或“jpg”文件包含PE结构(如“image.jpg”的十六进制开头为“4D5A”)。
查找方法

  • • 使用file命令(Windows需安装Git或Cygwin):file C:\Users\Public\*.jpg,若显示“PE32 executable”则异常;
  • • 手动查看前4字节:Linux用xxd filename | head -n1,Windows用certutil -encodehex filename 1.txt

12. 包含恶意字符串或特征码

特征:文件中包含“cmd.exe /c”“powershell -encodedcommand”“rm -rf /”等危险命令,或勒索病毒常用的“encrypted”“ransom”等关键词。
查找方法

  • • Windows通过findstr批量搜索: 

    findstr /s /i /m "powershell -encodedcommand" C:\*.ps1
  • • Linux用grep命令: 

    grep -r -E "bash -c | wget http://" /tmp/*.sh

注意:部分合法脚本也会包含类似命令,需结合上下文判断(如无参数校验的“wget”调用风险更高)。

13. 数字签名无效或伪造

特征:带有数字签名但验证失败(如“签名已损坏”),或签名者为陌生机构(非微软、Adobe等正规厂商)。
查找方法

  • • Windows右键文件→“属性→数字签名”,选中签名后点“详细信息”,查看“签名验证结果”;
  • • 通过sigcheck.exe(Sysinternals工具)批量检查:sigcheck.exe -s C:\Windows\System32\*.exe | findstr "Invalid"

14. 与恶意进程关联

特征:文件被可疑进程加载,如“rundll32.exe”加载非系统目录的“xxx.dll”,或“svchost.exe”调用“C:\Temp\”下的“service.dll”。
查找方法

  • • Windows用tasklist /m查看进程加载的模块:tasklist /m /fi "MODULES eq *.dll" | findstr /i "Temp"
  • • Linux通过lsof命令:lsof | grep -i "/tmp/.*\.so"

五、特殊位置与加载方式特征:从“藏身地”揪出黑手

恶意文件常通过非标准方式加载,或藏在容易被忽视的位置。

15. 注册表示例中的异常启动项

特征:在注册表启动路径(如“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”)中,指向非系统目录的文件(如“C:\Users\Default\AppData\Local\Temp\update.exe”)。
查找方法

  • • 用reg query命令检查: 

    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s | findstr /i "Temp\|Users\\Public"
  • • 使用Autoruns工具(Sysinternals),切换到“Logon”标签,筛选“Publisher”为“未知”的项。

16. 计划任务关联的可疑文件

特征:计划任务的执行路径指向临时目录,或触发时间异常(如每分钟执行一次“C:\Windows\Tasks\cleanup.bat”)。
查找方法

  • • Windows执行schtasks /query /fo list /v | findstr /i "TaskName.*Temp"
  • • Linux检查/etc/cron.d//var/spool/cron/下的任务:grep -r "/tmp/" /etc/cron*

17. 驱动文件无数字签名或厂商异常

特征C:\Windows\System32\drivers\下的.sys文件无微软签名,或厂商名称为陌生公司(如“恶意驱动.sys”的厂商显示“Unknown Publisher”)。
查找方法

  • • 执行pnputil /enum-drivers,查看“发布者名称”列,筛选非“Microsoft Windows”的驱动;
  • • 通过sigcheck.exe -d C:\Windows\System32\drivers\*.sys检查签名状态。

18. 隐藏在容器或镜像文件中

特征:恶意文件被打包成ISO、VHD等镜像文件,或藏在Docker容器的镜像层中(如“/var/lib/docker/overlay2/xxx/diff/”下的不明文件)。
查找方法

  • • 扫描所有镜像文件:dir /s /b C:\*.iso *.vhd,挂载后检查内容;
  • • Docker环境执行docker images列出镜像,docker save imagename -o image.tar后解压检查。

六、其他实用特征:覆盖边缘场景

19. 体积异常(过大或过小)

特征:系统关键文件体积与正常版本不符(如“notepad.exe”正常约200KB,异常文件可能仅50KB或5MB),或“txt”文件体积超过100MB(可能包含加密数据)。
查找方法

  • • Windows执行dir C:\Windows\System32\notepad.exe,与已知正常体积对比;
  • • Linux通过du -h /bin/ls,若与同版本系统的“ls”体积差异超过20%则异常。

20. 关联网络行为(未执行已联网)

特征:未手动运行的文件已建立网络连接(如“C:\Temp\test.dll”在进程列表中无对应进程,但通过netstat发现其连接恶意IP)。
查找方法

  • • Windows结合netstat -anotasklist /fi "PID eq xxx",定位无对应进程的连接;
  • • Linux通过ss -lntulsof -i,排查“ESTABLISHED”状态但无进程关联的连接。

实战技巧:快速验证文件恶意性的3个方法

  1. 1. 哈希比对:将文件MD5/SHA256值上传至VirusTotal,若检测率超过30%则高度可疑;
  2. 2. 沙箱运行:通过Cuckoo、Hybrid Analysis等沙箱运行文件,观察是否有创建进程、修改注册表等恶意行为;
  3. 3. 字符串提取:用strings命令(Linux)或“Strings”工具(Windows)提取文件字符串,若包含大量域名、IP或加密密钥,需重点关注。

识别隐藏恶意文件的核心是“打破思维定式”——不要只依赖杀毒软件,而要结合人工分析文件名、时间戳、权限等细节。建议蓝队在应急响应中按以下流程操作:

  1. 1. 先用自动化工具(如Autoruns、find命令)批量筛选符合上述特征的文件;
  2. 2. 对筛选结果按“系统目录优先”“近期修改优先”排序;
  3. 3. 结合哈希比对和沙箱验证,最终锁定恶意文件。

记住:恶意文件再狡猾,也会在某个特征上露出破绽。熟练掌握这20个特征和查找方法,能让蓝队在应急响应中节省大量排查时间,为遏制攻击扩散争取关键窗口。

本文来源HACK之道,经授权后由华盟君发布,观点不代表华盟网的立场,转载请联系原作者。
华盟君官方
华盟君

5.57K篇文章 177.76M总阅读量

相关文章

发表回复