应急响应之Windows排查

又是一年HVV季，大家应该也看到了，最近hvv的厂商面试越来越多了，听说今年的HVV时间大致在七月，所以这边再总结总结简单的应急响应内容，也算是自己再学习学习，毕竟像我这样的小白，没有实际经历，也只能这样纸上谈兵了。

内容目录

1、window应急响应1.1 window入侵排查0x01 入侵排查思路          1.1 检测系统账号安全          1.2 查看异常端口          1.3 查看进程信息          1.4 检测启动项、计划任务、服务          1.5 查看系统相关信息       简单面试题总结利用工具1、进程、服务分析工具2、病毒查杀分析工具

1、window应急响应

1.1 window入侵排查

常见的应急响应事件：
web入侵：网页挂马，主页修改，webshell；
系统入侵：病毒木马，勒索软件，远控后门；
网络攻击：DOS攻击，DNS劫持，ARP欺骗等等。
对于不同的的攻击事件，我们所采用的应急响应方式也不同，这里学习大佬们的思路后，自己再做简单的总结称述。

0x01 入侵排查思路

1.1 检测系统账号安全

1、查看是否存在弱口令，远程登录端口是否对外开放。
解决方案：账号密码根据具体情况咨询甲方；查看本地端口开放情况命令netstat -ano

2、查看服务器中是否存在一些可疑账号or新增账号。

解决方案：打开cmd，输入lusrmgr.msc，查看本地账号信息。

3、查看是否服务器中是否存在隐藏账号，克隆账号等等。
解决方式：
A、注册表，查看管理员对应键值。

B、使用D盾等工具，可以直接查。

4、查看日志，查看管理员的登录时间，用户名是否存在异常。
解决方式：WIN+R打开运行，输入eventvwr.msc,查看事件查看器，看日志信息。

1.2 查看异常端口

1、检查端口连接信息，看看是否有远程连接或者是可疑连接。
解决方式：netstat -ano,查看本机开放的全部端口，然后定位可疑连接。
然后精准定位 tasklist | findstr “PID”。

1.3 查看进程信息

1.windows自带的任务管理器
2.D盾的进程查看工具
3.火绒剑(推荐)
注意看几点

1、没有签名信息的进程
2、没有描述信息的进程
3、进程的主属
4、进程的路径
5、CPU或者占用内存的时间及大小等
6、还可以看进程的详细信息，例如进程的远程地址等等。

1.4 检测启动项、计划任务、服务

解决方式：
A、WIN+R输入msconfig查看启动项和系统服务，此外还可以查看注册表。

B、WIN+R输入gpedit.msc查看本地组策略。

C、控制面板中找到计划任务，查看计划任务属性。

D、WIN+R输入services.msc，可查看服务信息，查看服务的启动状态和服务状态，检测是否存在异常。

1.5 查看系统相关信息

解决方式：
A、cmd输入systeminfo，查看详细信息。

B、查找可疑目录及文件
查看用户目录，新账号会在这里的目录生成一个用户目录。

Window 2003 C:Documents and Settings
Window 2008R2 C:Users

C、win+R，输入%UserProfile%Recent,查看和修改所有最近的文件列表。

D、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。

E、回收站、浏览器等地的历史记录信息

F、修改时间在创建时间之前的为可疑文件，因为现在很多工具都是可疑自己修改创建时间的。

问：发现webshell、远控木马的创建时间，如何找出同一时间范围内创建的文件？
a、利用 Registry Workshop 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件。

Registry Workshop下载地址：链接：https://pan.baidu.com/s/1Gg2zDo8ujZ02JSBx5W-4TQ提取码：iwnd

b、利用计算机自带文件搜索功能，指定修改时间进行搜索。

简单面试题总结

这里就用两个常问到的面试题来总结一下上面的内容。

面试题1：windows被植入后门文件，讲一下你的排查流程？
检查系统日志，检查系统用户，查看是否有异常的系统用户，检查异常进程，检查隐藏进程，检查异常系统文件，检查系统文件完整性，检查网络，检查系统计划任务，检查系统后门，检查系统服务。
面试题2：应急响应的简单流程？
收集信息：由安全设备收集主机，样本信息，以及一些客户信息。
判断类型：是否是安全事件？具体为什么安全事件？挖矿？DOS？等。
深入分析：从系统角度深入分析，日志，进程，启动项这些去分析。
清理处置：杀掉异常进程，删除异常文件，打补丁或者修复相关文件等。
产出报告：对此次安全事件进行一个完整的文档描述。

利用工具

工欲善其事必先利其器，在庞大的数据流量中完全手工确有难处，所以我们还是要借用一些好用的工具来帮助我们完成任务。

1、进程、服务分析工具

PCHunter：

http://www.xuetr.com

PC Hunter是一款功能强大的Windows系统信息查看软件，同时也是一款强大的手工杀毒软件，用它不但可以查看各类系统信息，也可以揪出电脑中的潜伏的病毒木马。

YDArk

https://github.com/ClownQq/YDArk/blob/master/YDArk.exe

功能类似于火绒剑或PCHunter，并且驱动已经签名，可以直接食用。可以用来人工揪出病毒或者删掉无法删除的文件(部分火绒剑权限不够的东西它也阔以轻松拿下~)自己去上面链接下载看看。

火绒剑:这个估计就不用说了吧，火绒自带，也可以自己找单独提取版。

Autoruns

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

Autoruns是一款由微软旗下Sysinternals公司出品的专业系统启动项管理工具，这款工具小巧免费，单执行文件，利用它可以查看管理包含系统和任何软件的自动启动项位置的所有信息。

2、病毒查杀分析工具

本地：

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe大蜘蛛(俄罗斯)：http://free.drweb.ru/download+cureit+free360杀毒：https://sd.360.cn/

在线：

http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎https://habo.qq.com //腾讯哈勃分析系统https://virusscan.jotti.org //Jotti恶意软件扫描系统http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析https://n.shellpub.com //河马在线webshell查杀https://stack.chaitin.com/security-challenge/webshell  //牧云在线webshell查杀