如何验证可执行文件是可靠的 ｜ Windows 应急响应

0x01 简介 相信部分朋友已经看过我们的 《Windows 应急响应手册》了，我们这边也得到部分朋友的正向反馈，包括工具、方法等。Windows 版的应急响应手册中常规安全检查部分第一版就包含了 30 多个检查项目，按照我们的风格，每个检查项基本都给出了 Windows 默认的情况（书中以 Windows Server 2016 为例），对于存在大量检查项的（例如大量的 dll 文件需要检查），基本也都给出了 Powershell 脚本。如果大家详细看了这些 Powershell 脚本或者看我们的描述可以发现，其实就是找到检查项，进而找到可执行文件(exe、dll 等)，之后验证签名是否通过，这个做法仔细想是存在问题的：恶意程序也可以拥有有效的签名，所以只检查是否验证通过是不可靠的0x02 目的说明 单纯验证每个可执行文件是否为恶意，这不是我们的工作，这是主机/终端管理程序、杀毒软件、沙箱 ………………………………