windows应急响应笔记

admin
admin
admin
102350
文章
87
评论
2022年4月27日20:39:41评论63 views字数 4581阅读15分16秒阅读模式
一 检查异常端口、进程
1. 排查可疑端口
(1)netstat命令
netstat -ano   #查看所有网络连接及其PIDnetstat -ano | findstr 443  #过滤特定端口的网络连接netstat -ano | findstr TCP  #过滤TCP连接
windows应急响应笔记
(2)第三方工具,如D盾,火绒剑。
windows应急响应笔记
windows应急响应笔记
2. 排查可疑进程
(1)tasklist命令
tasklist /svctasklist /svc | findstr 111 #查看PID为111的进程taskkill /PID 111 -F -T    #强制结束进程

windows应急响应笔记

根据PID获得运行程序的路径及程序名
wmic process get name,executablepath,processid | findstr 87948

windows应急响应笔记

(2)msinfo32 工具
    在桌面打开运行(可使用快捷键 win+R),输入 msinfo32 命令
    依次点击 “软件环境 — 正在运行任务” 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

windows应急响应笔记

(3)任务管理器
    在桌面打开运行(可使用快捷键 win+R),输入 taskmgr 命令,点击 “详细信息”。

windows应急响应笔记

(4)第三方工具,如D盾,火绒剑。

windows应急响应笔记

windows应急响应笔记

在查看可疑的进程及其子进程时,可以重点观察以下内容:
  • 没有签名验证信息的进程
  • 没有描述信息的进程
  • 进程的属主
  • 进程的路径是否合法
  • CPU 或内存资源占用长时间过高的进程
二 检查系统账号安全
(1)排查弱口令
尝试使用弱口令登录爆破或直接咨询管理员
(2)net user命令
net user #查看用户信息,但不能查看隐藏用户net user Guest #查看用户的具体信息,如查看Guest的启用情况net user xxx /del  #删除可以用户

windows应急响应笔记

(3)lusrmgr.msc 工具
    在桌面打开运行(可使用快捷键 win+R),输入 lusrmgr.msc 命令,可查看用户信息,可查看隐藏用户。

windows应急响应笔记

(4)注册表查看隐藏用户
regedit -- 》计算机HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers
需要使用Administrator权限赋权,赋权之后可查看用户信息,可查看隐藏用户。

windows应急响应笔记

(5)D盾工具
    通过D盾web查杀工具进行检测,其中集成了对克隆账号、隐藏账号检测的功能。

windows应急响应笔记


三 检查启动项、计划任务和服务
(1)排查异常启动项
1. 单击【开始】>【所有程序】>【启动】,默认情况下此目录是一个空目录,确认是否有非业务程序在该目录下。

windows应急响应笔记

2. win+r,输入msconfig,点击启动查看启动项(win10是在任务管理器)

windows应急响应笔记

windows应急响应笔记

3. 在桌面打开运行(可使用快捷键 win+R),输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionrunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
  • 第一个是用户设置的启动项,删除不影响系统运行,一般查看的时候重点查看这里,因为这里是用户设置的。
  • 第二个是系统设置的启动项,删除需谨慎,一般是第三方软件的驱动程序。
  • 第三个启动项是很重要的,不能随便删除,会影响正常操作系统的正常运行。

windows应急响应笔记

5.gpedit.msc 查看组策略

windows应急响应笔记

6. msinfo32查看启动项

windows应急响应笔记

(2)排查计划任务
1. cmd命令查询,计划任务在windows7及之前版本的操作系统中使用at命令进行调用,在从windows8版本开始的操作系统中使用schtasks命令调用。

windows应急响应笔记

windows应急响应笔记

计划任务删除命令
at xxx /deleteschtasks /delete /tn xxx
2. 打开控制面板,在 系统与安全 中查看计划任务属性

windows应急响应笔记

3.使用第三方工具,如火绒查看计划任务。

windows应急响应笔记

(3)排查服务自启动
    使用services.msc或任务管理器查看服务项信息,注意服务状态和启动类型,检查是否有异常服务。

windows应急响应笔记

四 检查系统相关信息
(1)查看系统版本以及补丁信息
1. 使用 systeminfo 查看系统信息

windows应急响应笔记

2. 复制补丁编号,对比漏洞库,排查可能存在的漏洞。
https://i.hacking8.com/tiquan

windows应急响应笔记

(2)查看可疑目录及文件
1. 在桌面打开运行(可使用快捷键 win+R)输入 recent,分析最近打开的可疑文件。

windows应急响应笔记

2. 点击文件资源管理器,查找服务器内中的各个文件夹,将文件夹文件按时间进行排序,查找可疑文件,其中修改时间在创建时间之前的为可疑文件,也可以在搜索中搜索某一时间修改的文件。
3. 针对回收站、浏览器下载目录以及历史记录进行排查
4. 查看缓存文件,C盘一般在C:/Windows/Temp

windows应急响应笔记

(3)查看隐藏文件
    在桌面打开运行(可使用快捷键 win+R),输入 control,进入控制面板,找到文件资源管理器选项,点击 查看 后,取消”隐藏受保护的操作系统文件“勾选,在隐藏文件和文件夹下面的单选选择显示隐藏的文件、文件夹和驱动器。

windows应急响应笔记

五 日志分析
(1)系统日志
1、在桌面打开运行(可使用快捷键 win+R),输入 eventvwr.msc
2、找到事件查看器,查看windows日志(包括应用程序、安全、Setup、系统、事件)

windows应急响应笔记

默认存放路径
NT/Win2000/XP/Server 2003C:WINDOWSsystem32configSysEvent.EvtVista/Win7/Win8//Win10/Server 2008/Server 2012C:WINDOWSsystem32winevtLogsSystem.evtx
win10系统日志文件默认存放在
%SystemRoot%System32WinevtLogs下,该文件夹下全是Windows的各种事件日志文件。
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

对于Windows事件日志分析,不同的事件ID代表着不同的意义,摘录一些常见的安全事件的说明,一个登录的行为都会给挂上事件ID,比如:登录成功,登录失败也有自己对应的事件ID

windows应急响应笔记

成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式

windows应急响应笔记

可导出应用程序日志、安全日志、系统日志,利用 Log Parser 工具进行分析。
LogParser 的一些用法:
基本查询结构Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:xx.evtx"查询登录成功的所有事件LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4624"查询登录失败的所有事件LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4625"查询系统历史开关机记录LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"

windows应急响应笔记

(2)WEB日志
1、找到中间件、应用、WAF的日志(包括但不限于IIS、Nginx、宝塔、网站等)
2、打包至本地进行分析,在编辑器中对关键字进行搜索
六 病毒分析查杀工具
(1)病毒分析
PCHunter:http://www.xuetr.com火绒剑:https://www.huorong.cnProcess Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorerprocesshacker:https://processhacker.sourceforge.io/downloads.phpautoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autorunsOTL:https://www.bleepingcomputer.com/download/otl/
(2)病毒查杀
卡巴斯基(推荐理由:绿色版、最新病毒库):http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe  大蜘蛛(推荐理由:扫描快、一次下载只能用1周,更新病毒库):http://free.drweb.ru/download+cureit+free火绒安全软件:https://www.huorong.cn360杀毒:http://sd.360.cn/download_center.html
(3)病毒动态
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn微步在线威胁情报社区:https://x.threatbook.cn火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html爱毒霸社区:http://bbs.duba.net腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
(4)在线病毒扫描网站
多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎:http://www.virscan.org        腾讯哈勃分析系统:https://habo.qq.com          Jotti 恶意软件扫描系统:https://virusscan.jotti.org      针对计算机病毒、手机病毒、可疑文件等进行检测分析:http://www.scanvir.com
(5)Webshell 查杀
D盾_Web查杀:http://www.d99net.net/index.asp河马 webshell 查杀:http://www.shellpub.com深信服 Webshell 网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.htmlSafe3:http://www.uusec.com/webshell.zip
七 参考文章
https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247511941&idx=2&sn=b0b4c1b035dd33d5317ea405eccdf69dhttps://mp.weixin.qq.com/s?__biz=Mzg2NzUzNzk1Mw==&mid=2247490546&idx=2&sn=3a37e56508d92b913f08c94888f5e652https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650528712&idx=2&sn=9f6c916357f6b906ef43deb19037f753

原文始发于微信公众号(Reset安全):windows应急响应笔记

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月27日20:39:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   windows应急响应笔记http://cn-sec.com/archives/952557.html

发表评论

匿名网友 填写信息