Windows应急响应

  • A+
所属分类:安全闲碎

Windows应急响应


引子


总结一篇Windows应急响应的笔记,原因有以下几个。1,就是应急响应本身。2,做溯源不能光是人肉,不论从沦陷的机器来说,还是反溯到傀儡机,都需要应急的能力。3,作为RT,了解了应急的手段,可以更好的去隐藏自己。


系统基本信息


目的:对系统信息有个大概的了解。

操作:运行输入msinfo32命令查看系统的基本信息,包括硬件资源、组件、软件环境。


Windows应急响应


可以多关注软件环境下的选项,包括了驱动程序、环境变量、网络连接、运行任务、加载模块、服务、启动程序等。


Windows应急响应


获取系统基本信息除了msinfo32外,也可以在cmd下运行systeminfo命令来查看相关的信息:


Windows应急响应


用户信息


目的:查看是否有隐藏账号。

操作:1,使用net user命令查看相关用户,net user xxx查看指定账户的详细信息,该方法无法查看到隐藏账户


Windows应急响应


2,图形化查看:运行处输入lusrmgr.msc打开计算机管理查看用户选项,账号以$结尾的为隐藏账户。


Windows应急响应


3,注册表查看是否存在克隆账号,运行处输入命令regedit打开注册表,选择HLM-SAM,右键选择权限-高级,把下面那个选项勾上:


Windows应急响应


win10系统上有些区别,需要启用继承,然后最后一个选项打勾:


Windows应急响应


确认后F5刷新,然后就可以查看相关用户的信息了:


Windows应急响应


0000001F4是Administrator用户的,查看它的F值,大概看一下,因为要和其它000000开头的其它用户做比较,一样的话,很可能就是克隆账户。


Windows应急响应


如果看的不方便,可以右键导出,然后本地打开做对比。如果导出格式为reg,则需要用文本软件打开:


Windows应急响应


4,使用wmic查看系统账户,cmd运行命令wmic useraccount get name,SID,该方法可查到隐藏账户。


Windows应急响应


启动项


目的:查看是否有自启动木马。

操作:1,通过运行处输入msconfig打开系统配置,查看启动相关信息。


Windows应急响应


2,注册表查看,相关项说明如下:


HKCR存储了启动应用程序所需要的全部信息,例如应用程序的扩展名、驱动程序名、与文档之间的关系、应用程序图标等等。


HKCU存储了当前登录系统用户的配置信息,例如用户文件夹、屏幕设置、控制面板设置等。


HKLM存储了计算机的系统信息,包括硬件、操作系统等信息。


HKU存储了计算机所有用户的配置数据,这些数据只有用户登录系统时才能访问,例如当前用户使用的图标,激活的程序组,开始菜单的内容、颜色及字体等。


HKCC:存储了当前硬件的配置信息,其中的信息是从HKLM中映射出来的。在注册表中,其实相当于就两个表键,HKLM和HKU,其它表键基本都是从某个分支映射出来的,相当于快捷方式或者表名。


可以在以下位置查看相关启动项:


Windows应急响应


3,命令行查询注册表内容,使用reg query命令查询:


reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"


Windows应急响应


计划任务


目的:查看计划任务判断是否有马留存。

操作:1,计算机管理中查看计划任务,可以使用命令compmgmt.msc打开计算机管理,或者直接命令taskschd.msc打开计划任务。


Windows应急响应


2,PowerShell命令查看计划任务,输入Get-ScheduledTask查看所有的计划任务:


Windows应急响应


3,schtasks命令获取计划任务:


Windows应急响应


防护墙查看


目录:通过入站规则或出战规则,找出异常的流量。

操作:1,通过图形化查看,运行处输入firewall.cpl打开防火墙,点击高级设置,查看出站规则和入站规则。


Windows应急响应


2,命令行查看,命令行输入netsh firewall show state,如果是像win10这样的系统,上面命令有稍微的改动,win10查看命令:netsh advfirewall firewall show rule name=all,内容比较多可输出到文件中查看。


Windows应急响应


进程排查


目的:找到恶意进程的PID、程序路径、PPID、加载的DLL等。

操作:1,Ctrl+Shift+Esc打开任务管理器,查看进程信息,在一些列名称上右键可调出菜单,选择可选项,这里建议把PID、进程名称和命令行都选上。


Windows应急响应


2,tasklist命令查看进程,命令行输入tasklist查看所有进程信息。


Windows应急响应


输入/?可查看命令的帮助信息,例如svc参数可查看进程上相应的服务。


Windows应急响应


如果要查看进程下面调用的DLL,可以使用m参数:


Windows应急响应


如果想查看特定dll的引用,可以在m参数后面跟dll名称:


Windows应急响应


tasklist支持筛选功能,可通过fi参数结合一些大于等于那些符号来进行条件筛选,例如筛选PID大于200的进程:


Windows应急响应


3,可以结合netstat命令进行排查。这里先使用netstat -ano | findstr "ESTABLISHED"查看目前已存在的连接:


Windows应急响应


例如PID为2192的出现了多次,有点可疑,想排查下它所属的应用程序,那么就可以再执行tasklist | findstr "2192":


Windows应急响应


或者为了方便可以直接给netstat添加一个b参数,该参数可显示关联的应用程序。


Windows应急响应


4,使用powershell进行查看,执行如下命令,可查看ppid:


Get-WmiObject win32_process | select name,processid,parentprocessid,path


Windows应急响应


服务排查


目的:排查是否有恶意服务。

操作:运行处输入services.msc打开服务窗口即可。


Windows应急响应


文件痕迹排查


1,敏感目录temp/tmp排查,查看C盘符下的temp或tmp目录下是否有可疑文件。


Windows应急响应


2,浏览器记录排查,攻击者可能会使用浏览器下载一些后续的工具或者木马。重点关注下历史记录、下载记录等。


3,查看recent文件,该文件存储了最近运行文件的快捷方式,通过分析最近运行的软件,排查可疑文件。老系统一般在用户名下的recent下,我这里win10位置如下图。


Windows应急响应


4,查看prefetch文件,prefetch称为预读取,当系统软件前几次打开运行时,系统会把相应的情况以pf格式存放到prefetch文件夹下,随后软件再启动,会先读取相应的pf文件,加快打开速度。prefetch位置在c:windowsprefetch。

Windows应急响应


5,查看指定时间内的文件,根据攻击发生的时间前后,搜索相关的文件。


Windows应急响应


6,查找webshell,有很多相关工具,例如d盾、hwskill、河马等。


日志分析


Windows下日志有系统日志、应用程序日志和安全性日志。该三类日志存储位置如下:


windows 2000/Windows XP/Windows Server 2003/:


系统日志:C:WINDOWSSystem32configSysEvent.evt应用程序日志:C:WINDOWSSystem32configAppEvent.evt安全性日志:C:WINDOWSSystem32configSecEvent.evt


windows vista/win7/win8/win10/windows server2008及以上:


系统日志:%systemroot%System32WinevtLogsSystem.evtx应用程序日志:%systemroot%System32WinevtLogsApplication.evtx安全性日志:%systemroot%System32WinevtLogsSecurity.evtx


运行处输入eventvwr打开事件查看器,即可看到Windows日志栏。


Windows应急响应


1,系统日志,可查看事件ID为8033的,代表系统运行中一些重大问题,例如数据丢失、错误、崩溃等。


Windows应急响应


2,应用程序日志,记录了应用程序产生的各类事件。


3,安全日志,记录了与安全相关的事件,例如登录、退出、登录是否成功、系统文件的创建删除更改等操作都会被记录。以下是4625系统尝试登录失败的记录。


Windows应急响应


基本上现在使用的系统都支持powershell,也可以多关注下powershell日志。


Windows应急响应


4,日志分析工具有fulleventlogview、event log explorer、log parser等。需要注意的是log parser是一个命令行工具,使用类似sql语句查询:


Windows应急响应


内存分析


很多木马可能会内存化,隐藏比较深,比如在物理内存或者页面交互文件中,隐藏进程等情况,通过系统上查询的相关信息无法找到,那么可能就需要进行内存取证,内存获取分为一些类型,比如说基于内核的内存获取、基于系统崩溃转储的内存获取,或者是基于虚拟化快照的内存获取。


1,基于内核的内存获取常用的工具有dumpit、redline、ram capturer、ftk imager等。


2,基于系统崩溃的转储可以在系统属性-高级-启动和故障恢复-设置-核心内存转储进行获取。


Windows应急响应


3,基于虚拟化内存,相当于快照,例如Vmware workstation,esxi,其中vmem文件就是镜像。


获取内存后需要对内存进行查看和分析,一些软件例如redline,volatility,具体使用可参考官方说明。


流量分析


有时候可能需要分析了系统的当前流量情况,需要进行一些抓包分析,常用的工具就是Wireshark,网上和官网都有相关的使用说明,这里不在赘述。


威胁情报


威胁情报也会常用到,我们后面可能需要对一个IP或者域名或者是一个文件进行威胁情报查询,威胁情报有很多在线站点可以参考使用。例如微步、奇安信情报中心、360情报中心、绿盟情报中心、VenusEye情报中心、安恒情报中心、360网络安全研究,AlienVault等。


相关工具


除去上面提到的一些工具外,还有其它一些工具也可以辅助我们做应急,例如SysinternalsSuite工具集,PCHunter、火绒剑、PowerTool、Process Monitor、ThreatHunting、WinPrefetch View、WifiHistory View等。


思维导图总结


Windows应急响应

本文始发于微信公众号(aFa攻防实验室):Windows应急响应

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: