文章总结： 本文续接银狐木马防控，解决查杀找不到病毒母体的问题。作者通过逆向分析与实战排查，总结出利用Windows搜索、msinfo32命令、注册表检索及autoruns工具定位异常服务与隐藏文件的方法。最终建议粉碎文件、全盘扫描或重装系统，为应急响应提供了具体可操作的排查路径。 综合评分： 84 文章分类： 应急响应,恶意软件,实战经验,终端安全

应急响应：银狐木马病毒防控续

原创

小话安全 小话安全

小话安全

2026年3月2日 17:15 山东

上次分享银狐木马病毒防控时，我们遇到了一个问题——查杀过程中只能发现注入的病毒进程，却找不到病毒母体，使得排查耗时过长。因为习惯用everything搜索，当时并没有搜索出来有效信息（印象里会找出病毒运行时的异常文件夹及exe）。

应急响应

小话安全，公众号：小话安全应急响应：银狐木马病毒防控

后来将病毒在虚拟机里运行才找到病毒隐藏的路径。

实际上在everything里面设置搜索条件为文件夹时也能发现异常。

现在我们逆向找一下病毒的路径，现在已经知道了病毒文件名称。

现在我们搜索病毒文件，看能否在不知道病毒文件的情况下，查找到病毒文件。

1、借助Windows自带的搜索功能，检查目标文件夹的修改记录，同时通过命令行显示可疑目录下是否有隐藏文件，以排查是否存在异常行为。本次重点排查的目录为捆绑软件的安装目录。

2、使用msinfo32命令查看服务，可以看到以cmd开始的异常命令。

3、注册表里搜索异常文件夹的名字(c:\inetpub)，看到异常服务。

4、autoruns查看服务，一下看到异常服务，提示文件没找到。

5、使用工具查找隐藏文件，根据告警时间或恶意软件运行时间查找，找到异常文件夹。

找到之后文件粉碎即可，全盘病毒扫描，最好重装系统吧。之前遇到过病毒自动安装白名单远控工具。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小话安全 小话安全 小话安全《应急响应：银狐木马病毒防控续》