everything是一款文件搜索工具,它可以迅速帮你定位并找到你计算机上的文件和文件夹。在应急响应中此工具也是特别好用,尤其是存在免安装的绿色版本,可以通过U盘直接启动。以下列一些在之前应急场景中所用到的功能,可以方便我们快速找到一个进行应急的切入点。
1. 通过修改时间找文件
在客户现场简单询问过系统出异常的大致时间之后就可以根据时间进行搜索。搜索语法为dm:yyyymmdd,效果如下图所示。
同时语法支持使用*等通配符,可以更方便的指定修改的文件类型,例如dm:20240801 *.exe
也可以指定一个日期段,例如dm:20240801-20240802 *.exe 。通过这个进行搜索,在较为简单的应急场景之下(例如中了勒索)快速的查找病毒的落地文件。
如果想要查找小文件,可以使用命令size:<5MB 注意一定不要省掉冒号。配合前面的语法就是dm:20240801-20240802 *.exe size:<5MB ,效果如下图所示
