一文看懂Windows网络安全终端应急响应的那些工具

整体来说，在终端侧展开事件调查时无非围绕以下几个方面进行：

1、网络

2、进程

3、内存

4、启动项

5、落地文件

6、日志&&痕迹

往往结合这几个方面就能够做好一次应急响应工作。

Processhacker && systeminfomer

首先在分析网络和进程这一方面，processhacker和systeminfomer无非是最好的工具，通过这两个工具能够看到以下信息：

1、进程的pid以及外连地址

2、进程的父进程信息

3、进程对应的可执行文件

4、内存信息以及加载的dll模块

但是在实际工作中，个人比较偏好systeminfomer这块进程分析工具，一方面这款工具在使用方面功能和Processhacker所差无几，同时这个工具不会被EDR或者杀毒软件拦截，能够让我们在不关闭EDR agent的情况下展开工作。或者有小伙伴会问，为什么不推荐火绒剑呢？在安全分析领域，火绒剑可以说是个全能战士，在展开应急响应工作时，这款工具基本上能覆盖八成的工作场景，但是火绒剑会存在驱动不兼容的情况，导致我们在部分设备上无法使用。而且EDR/杀毒软件也会拦截。

那么首先聊聊网络模块，在分析一个终端进程时，笔者最喜欢先看网络外连了，在Network模块中，我们能看到进程的外连地址以及pid还有他的归属。有时候会觉得外联的ip比较分散，我们可以点击Remote address进行排序，能够快速地帮助我们定位外连进程以及外连ip。至于如何去分析哪个进程是恶意的，一方面可以依托安全设备的外连ip去快速定位，还有就是发现有一些自己不认识的进程或者是奇奇怪怪的进程在外连，或者端口号为3333、4444、25020这种看起来比较奇怪的端口，都可以把这个进程列为重点关注对象，最后还可以根据常见的威胁情报平台分析外连的ip哪些是恶意的。

聊完网络，那么就可以去看看网络对应的pid了。找到对应的进程，双击打开，那么我们就能够快速获取到关于这个进程的相关信息了，那么到这里其实这么一款工具基本上就能把外连事件或者挖矿事件分析一大半了。通过这么一张图，我们能够快速获取到这个进程的可执行文件路径、启动参数、启动时间、以及父进程这些重要信息。

那么在攻防场景下，比如攻击者是通过webshell去拉起C2进程，那么他的父进程一般都是java.exe或者是w3wp.exe等等。如果是存在挖矿或者是权限维持这种那么逐级分析，往往他最上层的父进程是services.exe。

上面聊到了systeminfomer还能查看加载的模块信息，这里点击modles模块，平时重点关注他加载的没有Description的dll模块。如果遇到白加黑的免杀场景，在使用火绒剑不行的时候。可以去关注这个exe的导入表，从他的导入表里面，能够快速定位到他的黑dll，相关内容在之前《守护解放西？银狐病毒》里面已经提到过

内存分析的话可以在systeminfomer的Memory模块的strings中去分析。比如存在dnslog的场景，这个模块可能就能派上用场。

如果觉得systeminfomer检索内存比较麻烦，这里推荐个github工具：https://github.com/Fheidt12/Windows_Memory_Search

autorun

上面讲完进程相关的知识点了，那么我们需要知道这个进程会不会存在维权项？或者是说我们在systeminfomer里面发现外连进程的父进程最终是services.exe，那么我们就可以去使用autorun去查看了。

对于autorun去分析的话，最为简单粗暴的就是选择Everything标签，然后在filter输入框里面直接检索就可以了。这里基本上能满足八成的场景，如果存在计划任务隐藏的场景，那么在这里可能搜索不到。具体隐藏的维持项，后面再写文章再做讨论。

那么删除这个启动项的话，直接右键选中，点击删除即可。

那么我们在关注autorun的一些启动项时，需要注意：

当启动项为粉色时，往往意味着这个可执行文件没有签名，可以重点关注。但是！！！如果在下图中，记号为3这种，不是绝对路径的，一般都是没什么问题，所以不要删除！！删除了可能导致系统重启后无法正常启动。

Everything

当发现一个恶意进程时，我们最后的一个动作，往往就是删除这个文件或者是webshell文件，笔者在实际工作中，往往最喜欢的就是是用Everything，无论是做了隐藏他也能够查看到。比如说我这个主机今天被攻击了，我需要确认今天落地了哪些可执行文件或者是webshell，或者是有没有fscan的扫描文件落地，都可以用这个工具去查看。如下图，就可以通过*号去匹配是否有exe结尾的文件落地。

如果说这台主机不是今天失陷的，而是前段时间落地的，那么可以使用dc或者dm语法来检索指定时间落地的恶意文件。

除了这些，比如说，我要看指定文件类型是否存在指定字符串，我们可以使用content语法来检索，就不用我们还要一个一个去查看文件了。那么常见的就是有fscan的扫描结果。

sysmon

sysmon是微软官方推出的一款系统监控程序，安装后，sysmon会以驱动的形式驻留在系统中，以监视系统活动并将行为记录记录在Windows事件日志中。它提供有关进程创建、网络连接和文件创建时间更改的详细信息。在一定程度上与Windows原始的事件查看器进行互补，为系统管理员/安全人员在识别恶意活动的工作中，提供了极大地便利。

使用场景：

1、捕获恶意网络请求，但无法查询到外连进程以及落地文件的场景

2、非可持续性网络外连事件。

3、恶意程序通过进程注入等方式展开的恶意攻击行为，无法定位到原始恶意程序场景

sysmon下载地址：https://download.sysinternals.com/files/Sysmon.zip

根据微软官方给出的操作，安装与卸载可以在cmd环境下执行如下命令：

安装：sysmon64 -i []

更新配置：sysmon64 -c []

卸载：sysmon64 -u

推荐安装方式：sysmon -accepteula -i -c []

根据之前的实战案例，发现终端主机一直存在持续外联的现象，这里分析完态势感知日志之后，协调远程上机，发现主机确实是存在挖矿，并在内存中，发现存在外联的恶意域名

利用processhacer查看进程的相关信息，发现挖矿程序的父进程已经不存在了，无法找到这个挖矿程序，到底是被什么拉起来的。那么就可以安装sysmon去检测进程的启动行为，根据"消失的父进程"来分析sysmon日志。

而在安装sysmon后，再次对进程进行观察，通过分析sysmon日志就能够很快就能够锁定主要的母体文件，从而达到问题定位的目的。

Winlog

是不是还在苦苦去记4624、4625等Windows日志而苦恼，不知道在Windows被入侵后分析什么日志，这里推荐一款Windows日志工具，根据应急实战分析出来的，上手即用，涵盖常见应急场景。github地址：https://github.com/Fheidt12/Windows_Log。具体使用只需要点点点，没有任何语法，上手即用。具体的就不做过多描述，常见功能可以查看github项目，当前github项目为命令行版本，项目作者即将输出gui版本，敬请期待：

【内存马】cop && arthas

最后就是内存马了，这个也是在攻防场景老生常谈的问题，那么内存马用的最多的就是cop和arthas，cop作为一款内存马查杀工具，在实际场景中能够快速检索常见的classloader，帮助我们去分析，具体的使用方式可以查看作者github首页。https://github.com/LandGrey/copagent。当cop进程跑完后，会在当前目录下生成一个名为.copagent的目录，在这个目录里面查看result文件，重点关注high risk的classloader文件。

而arthas(项目地址：https://github.com/alibaba/arthas))主要是分析jvm内存，往往注入内存马时会在内存中注册路由。那么在使用的时候，我们重点关注内存中被注入的servlet和filter，在jvm里面，可以通过mbean | grep ="name=/"来过滤内存中注册的路由。

当找到相关的class loader的类后，使用jad能够查看class的具体代码。