干货|攻击溯源的排查范围

前言

在系统被入侵后，需要迅速梳理出黑客的攻击路径，本文总结windows系统攻击溯源过程中必要的排查范围。

排查项目

用户

1

query user

1
2
3

1. net user
2. 开始-运行-lusrmgr.msc
3.查看C:Users目录排查是否新建用户目录，如果存在则排查对应用户的download和desktop目录是否有可疑文件

1
2

开始-运行-regedit
查看HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers中是否有异常

启动项

注册表查看启动项

1
2
3

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

命令行查看启动项

1

wmic startup list full

组策略中查看启动

1

运行-gpedit.msc

Recent目录

此目录可以看到程序或文件最后被打开和使用的日期时间。

1

C:UsersAdministratorRecent

windows日志

计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)

根据时间排查安全日志里的登录事件，用户创建等事件情况

着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式

windows安全日志文件：

C:WindowsSystem32winevtLogsSecurity.evtx 查看其大小是否为20M左右，若远远小于20M则有可能被清理过

计算机-管理-事件查看器-windows日志-系统

查看恶意进程的运行状态时间等

排查可疑进程

查看可疑网络连接

1

netstat -b -n

根据网络连接寻找pid

1

netstat -ano | findstr xxx

根据pid寻找进程

1

tasklist | findstr xxx

杀死可疑进程

1

taskkill /T /F /PID xxxx

排查计划任务

1
2
3

schtasks /query /fo table /v

运行-taskschd.msc

排查系统服务

1

运行-service.msc

工具使用

PECmd

使用PECmd导出最近活动项目

LastActivityView

使用LastActivityView图形化工具查看最近活动项目

作者：Leticia's Blog

文章来源：http://next.uuzdaisuki.com

一如既往的学习，一如既往的整理，一如即往的分享。感谢支持

“如侵权请私聊公众号删文”

「黑白之道」 抖音号现已开通！分享网络安全圈内新鲜事，让刷抖音你和关注网络安全两者兼顾，在抖音也能看网络安全！

本文始发于微信公众号（黑白之道）：干货|攻击溯源的排查范围