文章来源:LemonSec
前言
在系统被入侵后,需要迅速梳理出黑客的攻击路径,本文总结windows系统攻击溯源过程中必要的排查范围。
排查项目
用户
查看当前登录用户
1
|
query user
|
查看系统中所有用户
1
|
1. net user
|
查看是否存在隐藏账号,克隆账号
1
|
开始-运行-regedit
|
启动项
注册表查看启动项
1
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
|
命令行查看启动项
1
|
wmic startup list full
|
组策略中查看启动
1
|
运行-gpedit.msc
|
Recent目录
此目录可以看到程序或文件最后被打开和使用的日期时间。
1
|
C:UsersAdministratorRecent
|
windows日志
安全日志
计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)
根据时间排查安全日志里的登录事件,用户创建等事件情况
着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式
windows安全日志文件:
C:WindowsSystem32winevtLogsSecurity.evtx 查看其大小是否为20M左右,若远远小于20M则有可能被清理过
系统日志
计算机-管理-事件查看器-windows日志-系统
查看恶意进程的运行状态时间等
排查可疑进程
查看可疑网络连接
1
|
netstat -b -n
|
根据网络连接寻找pid
1
|
netstat -ano | findstr xxx
|
根据pid寻找进程
1
|
tasklist | findstr xxx
|
杀死可疑进程
1
|
taskkill /T /F /PID xxxx
|
排查计划任务
1
|
schtasks /query /fo table /v
|
排查系统服务
1
|
运行-service.msc
|
工具使用
PECmd
使用PECmd导出最近活动项目
LastActivityView
使用LastActivityView图形化工具查看最近活动项目
作者:Leticia's Blog
文章来源:http://next.uuzdaisuki.com
一如既往的学习,一如既往的整理,一如即往的分享。感谢支持
“如侵权请私聊公众号删文”
「黑白之道」 抖音号现已开通!分享网络安全圈内新鲜事,让刷抖音你和关注网络安全两者兼顾,在抖音也能看网络安全!
本文始发于微信公众号(黑白之道):干货|攻击溯源的排查范围
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论