作者：Zgao

平时做应急的过程中，排查过程使中用htop或者top经常会发现很多user是数字的用户，但是去看/etc/passwd却没有对应的用户？并且进程/proc目录对应的目录和可执行文件都在不存在。本文通过实践解决了自己在工作中的对于一些技术细节上的疑惑。

最近在分析挖矿木马，发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将wget和curl命令重命名。在多个挖矿木马同时竞争的情况下，没有wget和curl该如何远程下载挖矿脚本呢？

最近遇到的一起被勒索案例，被勒索加密的文件后缀是.orkf。勒索信如下：
勒索几百美刀，主要是针对个人PC的勒索病毒。

分析结论：
根据该勒索加密样本与源文件对比分析，发现该勒索病毒加密特征为对文件头进行加密，逐字节加密每个文件，然后保存文件副本，删除（而不是覆盖）原始文件。并在文件尾部添加病毒特征码。由于文件的中间部分未被加密，所以对于一些大的文件有可能能够恢复部分数据。

导语：TemTNT挖矿家族，腾讯云安全中心已经对挖矿脚本有了详细的分析。所以本文不会去分析挖矿脚本代码。而是从应急响应的视角，通过溯源的方式去分析挖矿木马以及给出清理方案。

删除软链接时，究竟是删除的软链接本身？还是删除的软链接指向的文件/目录？

踩坑记录

本文总结了5种从wireshark的流量中提取文件的方法。