事件处置(续):我的WIRTK

  • A+
所属分类:安全文章

最后一次更新在2009年,具体工具和用法可能会有所变化。

但大体上原则既是如此,仍可参考使用。

没时间看的,看完第一段和最后一段,也是一样的。


-------------------------------------


WIRTK = (W)indows (I)ncident (R)esponse (T)ool (K)it

主要针对Windows服务器,所以当时Win7以上没有测试过。


=============================

更新:python ( Python[AT]Live.It )

时间:2009-5-18

=============================


0. 工具包原则(我是第一段)


0.1 应急工具应具备以下原则

尽量使用CLI工具而不是GUI

一个工具完成一件事

实现完全相同功能的工具,其数量应至少为2

工具存储在只读介质中,如:CD-ROM或上锁的U盘


0.2 为什么有这些原则

实现同样功能的CLI工具和GUI工具相比,CLI工具应该是实现特定功能的最小化代码总和,代码少,则意味着它更简单,相对GUI工具可能存在的故障点更少。

同样的原因,一个工具完成一件事也是意味着存在更少的故障点。另外,如果将多种功能集中在一个工具上的时候,当工具出现问题无法运行,那么可能意味着很多事情无法继续。

“实现完全相同功能的工具,其数量应至少为2”并不是指我需要一个ping.exe,同时还需要复制一份ping.exe,而是需要一份能同样实现ping功能的程序,以防止在ping.exe无法使用的时候我还有其他选择。

至于工具为什么要存储在只读介质上,主要是为了防止感染。当然有些时候需要输出报告离线分析,这种需求就根据现场情况按需处理了。


0.3 系统文件的备份档

系统中常用的命令行工具的备份也应存放在工具包中。

如:系统自带的net.exe工具,收集net.exe的备份可从对应版本的Windows安装盘的I386目录中获取NET.EX_,同时,从光盘中复制expand.exe,若需覆盖系统现有的net.exe或系统的net.exe损坏不能使用时,使用命令expand NET.EX_ net.exe,即可将NET.EX_展开到当前目录中,并命名为net.exe。

为防止版本差异,可从不同版本光盘中导出对应命令,并按照版本存放。


1. 系统时间

date:系统自带命令,用于获取系统时间


2. 网络连接

TCPView:sysinternals的工具,图形化界面的网络连接查看工具

tcpvcon:sysinternals的工具,命令行界面的

netstat:系统自带,Windows 2000上使用netstat -an ,Windows XP以后使用netstat -ano

net use:系统自带的net命令,net use用于查看本机会话连接


3. 用户登录信息

net session:系统自带的net命令,显示非交互式登录,如:通过net use方式的连接

logonsessions.exe:sysinternals,logonsessions.exe /p 打印所有的登录用户(包括网络、终端、后台服务等登录)及其运行的进程

psloggedon.exe:输出比logonsessions.exe输出相对简单,但比logonsessions多出了一个输出项:Users logged on via resource shares,不需要自己判断了。


4. 进程信息


4.1 基本进程工具

tlist.exe:Windows 2000的support tools中的工具,列进程

Process Explorer:sysinternals,进程管理工具

winmsd:系统自带的“系统信息”,综合信息工具,也可收集除进程信息外的加载的模块和驱动信息

tasklist:Windows XP以后系统自带,任务管理工具


4.2 进程与文件相关工具

ListDlls:sysinternals,列模块信息

handle:sysinternals,列出各进程打开文件或目录的句柄

openfiles:Windows XP以后系统自带,文件或目录打开的情况


4.3 Rootkit与进程

blacklight:F-Secure,专用检查rootkit进程

RootkitRevealer:sysinternals,专用检查rootkit进程


5. 内存信息


5.1 剪切板信息

write.exe:系统自带写字板,打开后ctrl-V,这样无论图片和文字都能看到

getClip.pl:perl中提供了打印剪切板信息的模块,不过需要用户自己区分内容

getClip.py:python的win32clipboard提供查看、修改剪切板内容的模块,win32clipboard属pywin32的一部分


5.2 内存信息

pmdump.exe:dump特定进程的内容

winhex:编辑器,可以直接访问内存并搜索关键字

procdump.exe:类似pmdump,sysinternal出品

strings.exe:字符工具,方便查看pmdump和procdump的结果


5.3 cmd.exe历史记录

注:若当前存在未关闭的cmd窗口,可从中获取执行的命令的历史记录

F5键:按F5键可以上翻并显示之前执行过的命令

doskey:系统自带,使用 doskey /history 命令可以列出当前cmd窗口之前执行过的所有命令


6. 磁盘信息


6.1 共享信息

net share:系统自带net命令,打印哪些磁盘或目录被以什么样的名字共享在网络上


6.2 磁盘工具

FATWalker:磁盘分析工具,可以查找已删除的文件

NTFSWalker:同上

DiskDigger:同上


7. 启动项

msconfig:系统自带(Windows 2000默认没有)

autoruns:sysinternals,图形化工具

autorunsc:sysinternals,autoruns的命令行版本


8. 日志与文件


8.1 日志工具

findstr:系统自带,用于搜索文本中的字符串

grep:UnixUtils包中的工具,功能与UNIX下的grep相同

LogParser:可用于分析文本格式的日志,还支持系统日志(导出为evt文件)和IIS日志的分析

split:UnixUtils包中的工具,切文本用的,方便处理不分段的大日志


8.2 重要的日志和文件

注:以下都是默认路径,可能会有认为修改导致路径改变

应用程序日志 :C:windowssystem32configAppEvent.Evt

安全性日志 :C:windowssystem32configSecEvent.Evt

系统日志 :C:windowssystem32configSysEvent.Evt

计划任务日志 :C:windowsSchedLgU.Txt

IIS日志 :C:windowssystem32logfilesW3SVCxexYYMMDD.log

IE浏览器历史记录 :C:Documents and SettingsusernameLocal SettingsHistory

IE浏览器临时文件 :C:Documents and SettingsusernameLocal SettingsTemporary Internet Files

IE浏览器产生的Cookie :C:Documents and SettingsusernameCookies


9. 综合信息收集工具

systeminfo :XP以后自带

SIW(System Info for Windows) :收集软、硬件信息,还收集一些本机记录的密码信息

Nigilant32 :关于磁盘和内存的工具


10. 网络信息收集


ipconfig:系统自带

netsh:系统自带


11.WMIC收集系统信息


系统版本信息:wmic os get caption,version

补丁信息:wmic qfe get ServicePackInEffect,hotfixid

获取本地MAC信息:wmic nic get macaddress,description

获取本地IP信息:wmic nicconfig get description,ipaddress,DefaultIPGateway,DHCPEnabled,DNSDomain

获取本地日志信息:wmic ntevent list brief(建议使用list brief,即使这样,速度也会很慢)

获取特定类型日志:wmic ntevent where (message like "%登录%") list brief

隐藏共享:wmic SHARE WHERE "Name LIKE '%$'"

非隐藏共享:wmic SHARE WHERE "not Name LIKE '%$'"

获取进程信息:wmic process

获取用户SID信息:wmic useraccount get caption,sid

获取服务信息:wmic service get caption,pathname

正在运行的服务:wmic service where (state="running") get caption,pathname

启动项信息:wmic startup

用户(网络)登录信息:wmic netlogin get lastlogon,caption(本地也可以)

登录信息:wmic logon get starttime,logontype,logonid(和上面信息结合起来看)


-------------------------------------


12.我是最后一段

原则上,sysinternals 的工具包都能解决绝大多数Windows上的问题

处理了这么多年Windows上的问题,我也基本就是靠这么一套工具包在活着了,下载访问官网:https://live.sysinternals.com/

事件处置(续):我的WIRTK
(扫码关注)

本文始发于微信公众号(Piz0n):事件处置(续):我的WIRTK

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: