前言

       D盾是目前最为流行和好用的web查杀工具，同时使用也简单方便，在web应急处置的过程中经常会用到。D盾的功能比较强大， 最常见使用方式包括如下功能：1、查杀webshell，隔离可疑文件；2、端口进程查看、base64解码以及克隆账号检测等辅助工具；3、文件监控。第一个是D盾的主要功能，后面功能是D盾的辅助功能，但是在处理web甚至是病毒的过程中可能都会用到。本文从详细说明D盾的使用过程，并配套录制视频供大家使用。

1、D盾基础使用步骤

D盾的下载路径：http://www.d99net.net/ 下载免费版本即可。

1.1 更新规则库

       D盾查杀之前先确保规则库是最新的，可以查杀最新的webshell后门。

1.2 选择网站根目录进行webshell查杀

一般来说，如果是做web应急处置的，时间比较充足的话建议扫描全部站点，对这个磁盘进行扫描时间会比较长，但是更全面。如果是防火墙上架或者是客户已经指定目录的可以点击自定义扫描，具体操作如下：

第一步，点击自定义扫描

第二步，选择网站根目录（根据你的实际情况）

第三步，确认后就开始扫描了，底部会显示扫描进度，扫描后会显示结果

1.3 后门确认与处置

扫描完成后会显示哪些文件存在问题，如下图：

说明：

       1、显示级别的数字越大，是木马的可能性越大，即级别5大部分情况下都是木马，级别1有一些敏感的参数或者函数不一定是木马。

       2、删除后会的文件会进入隔离去（和杀毒软件类似，可以在隔离区恢复）

注意：

       1、对于说明中的第一点，即便是级别5的文件，建议每个文件去查看，如果自己不能确认可以让客户帮忙查看是否是业务系统文件，访问是否正常，得到客户确认才能删除。所以备份非常重要：对于所有要删除的文件删除前一定要做好备份工作，备份文件名称和文件所对应的路径，误删除可能会导致客户业务系统异常。

       2、在查杀的界面删除后，文件会被放到隔离文件中，会在D盾同一个目录下有文件生成，如果需要恢复，可以在隔离区中恢复文件。如下图：

2、D盾的高级使用功能

2.1 端口及进程查看

       1）端口查看

       D盾可以查看系统上端口开放和连接建立的情况，在排查勒索病毒的时候可以查看如3389、135、445端口有没有对外开放，如下图：

       2）进程查看

       进程查看中可以看到当前正常运行的进程，而且在每个进程下面都可以看到加载的dll文件，可以作为辅助。

2.2 克隆账号检测

       克隆账号检测需要以管理员身份运行D盾，如下图，右键以管理员身份运行：

点击【工具】–【克隆账号检测】可以查看是否被黑客新建了用户，如下图：

3、文件监控

       文件监控是D盾工具的优势功能，一般的webshell查杀工具不会有，他可以监控目录下文件的变化情况，这种场景在暂时没有日志或者是暂时没有发现黑客的web入侵途径时比较有用，操作也比较简单。

第一步：把需要监控的目录写到监控目录栏目中并启动监控，如下图：

注意：需要监控的扩展过滤可以根据自己的需要手工添加，一般默认即可。

第二步：在监控目录下面修改文件

第三步：在文件监控中查看

开启文件监控可以在安全日志不全或者POST记录缺失的情况下部分还原攻击者的攻击路径，对于排查问题有一定帮助。

关于领信

    陕西领信未来信息科技有限公司是一家主要面向铁路、科研院所、大型企业等行业的网络安全集成和网络安全技术支持服务及相关应用的专业化信息技术企业。成立于2003年。多年来为用户提供从方案设计、工程实施到售后技术服务的全面技术支持，具有健全的运营体制和现代企业理念 ， 公司成立以来，业绩显著，成功完成了多项网络安全建设项目，建立了完善的客户服务系统，赢得了广大客户的赞誉和信赖。在信息安全、网络应急服务实施过程中，领信未来已发展成为陕西省内信息安全技术领域颇具实力的企业之一

业务范围

安全服务、应急响应、渗透测试、系统集成

联系方式

电话：029-88235366

邮箱：liujj@linktrust.net