特色功能:划词解析、调取同类技术资料、基于推荐算法,为每一位用户量身定制专属技术资料。
无问社区-官网:http://wwlib.cn
http://www.wwlib.cn/index.php/artread/artid/10092.html
账户检查
优先是需要查看一下用户,这里应该去控制面板里面去查看,因为我们知道以$符号结尾的用户名,我们在命令行中是没办法查看到的。
不过事实上最关键的还是排查注册表,不过这方面已经是有工具支持了。
端口、进程、登陆账户检查
查看端口连接情况
现在能看到已经跟两个链接建立了链接,例如这里有异常的881或者3389,我们可以通过查看详细进程名来判断是否存在问题。
在确定了异常进程后,可以考虑关闭进程并获取进程路径来寻找相应恶意文件。
其实我们在这一步的时候已经是获取的恶意进程回连的IP地址了,所以我们也可以在微步或者安恒威胁情报中心对IP进行查询。
同样对于远程连接,我们也可以用query user来判断当前是否有其他用户登录,这里会有详细的登录信息。
也可以使用D盾来查看上述信息,同时我们还可以用D盾来查杀后门文件 。
此外也可以使用微软提供的Process Explorer对进程资源进行进一步的检测,重点关注那些没有注释、企业名、内存占用率高、路径异常的进程。
不过个人觉得前期查东西的话,用命令查的更精确些,工具可以用来打辅助提高效率。
系统日志检查
通过查看系统日志,寻找近期存在的可以行为
通过查看远程连接日志记录
应用程序的日志记录
启动项、策略组、计划任务
在开始菜单输入msconfig点击启动项栏目,查看是否有异常启动进程。
在计划任务中,寻找陌生的异常计划任务。
开始菜单输入gpedit.msc,查看本地策略组脚本中是否设置恶意进程后门。
原文始发于微信公众号(白帽子社区团队):windows下应急响应排查内容
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论