事件处置（续）：我的WIRTK

最后一次更新在2009年，具体工具和用法可能会有所变化。

但大体上原则既是如此，仍可参考使用。

没时间看的，看完第一段和最后一段，也是一样的。

-------------------------------------

WIRTK = (W)indows (I)ncident (R)esponse (T)ool (K)it

主要针对Windows服务器，所以当时Win7以上没有测试过。

=============================

更新：python ( Python[AT]Live.It )

时间：2009-5-18

=============================

0. 工具包原则（我是第一段）

0.1 应急工具应具备以下原则

尽量使用CLI工具而不是GUI

一个工具完成一件事

实现完全相同功能的工具，其数量应至少为2

工具存储在只读介质中，如：CD-ROM或上锁的U盘

0.2 为什么有这些原则

实现同样功能的CLI工具和GUI工具相比，CLI工具应该是实现特定功能的最小化代码总和，代码少，则意味着它更简单，相对GUI工具可能存在的故障点更少。

同样的原因，一个工具完成一件事也是意味着存在更少的故障点。另外，如果将多种功能集中在一个工具上的时候，当工具出现问题无法运行，那么可能意味着很多事情无法继续。

“实现完全相同功能的工具，其数量应至少为2”并不是指我需要一个ping.exe，同时还需要复制一份ping.exe，而是需要一份能同样实现ping功能的程序，以防止在ping.exe无法使用的时候我还有其他选择。

至于工具为什么要存储在只读介质上，主要是为了防止感染。当然有些时候需要输出报告离线分析，这种需求就根据现场情况按需处理了。

0.3 系统文件的备份档

系统中常用的命令行工具的备份也应存放在工具包中。

如：系统自带的net.exe工具，收集net.exe的备份可从对应版本的Windows安装盘的I386目录中获取NET.EX_，同时，从光盘中复制expand.exe，若需覆盖系统现有的net.exe或系统的net.exe损坏不能使用时，使用命令expand NET.EX_ net.exe，即可将NET.EX_展开到当前目录中，并命名为net.exe。

为防止版本差异，可从不同版本光盘中导出对应命令，并按照版本存放。

1. 系统时间

date：系统自带命令，用于获取系统时间

2. 网络连接

TCPView：sysinternals的工具，图形化界面的网络连接查看工具

tcpvcon：sysinternals的工具，命令行界面的

netstat：系统自带，Windows 2000上使用netstat -an ，Windows XP以后使用netstat -ano

net use：系统自带的net命令，net use用于查看本机会话连接

3. 用户登录信息

net session：系统自带的net命令，显示非交互式登录，如：通过net use方式的连接

logonsessions.exe：sysinternals，logonsessions.exe /p 打印所有的登录用户（包括网络、终端、后台服务等登录）及其运行的进程

psloggedon.exe：输出比logonsessions.exe输出相对简单，但比logonsessions多出了一个输出项：Users logged on via resource shares，不需要自己判断了。

4. 进程信息

4.1 基本进程工具

tlist.exe：Windows 2000的support tools中的工具，列进程

Process Explorer：sysinternals，进程管理工具

winmsd：系统自带的“系统信息”，综合信息工具，也可收集除进程信息外的加载的模块和驱动信息

tasklist：Windows XP以后系统自带，任务管理工具

4.2 进程与文件相关工具

ListDlls：sysinternals，列模块信息

handle：sysinternals，列出各进程打开文件或目录的句柄

openfiles：Windows XP以后系统自带，文件或目录打开的情况

4.3 Rootkit与进程

blacklight：F-Secure，专用检查rootkit进程

RootkitRevealer：sysinternals，专用检查rootkit进程

5. 内存信息

5.1 剪切板信息

write.exe：系统自带写字板，打开后ctrl-V，这样无论图片和文字都能看到

getClip.pl：perl中提供了打印剪切板信息的模块，不过需要用户自己区分内容

getClip.py：python的win32clipboard提供查看、修改剪切板内容的模块，win32clipboard属pywin32的一部分

5.2 内存信息

pmdump.exe：dump特定进程的内容

winhex：编辑器，可以直接访问内存并搜索关键字

procdump.exe：类似pmdump，sysinternal出品

strings.exe：字符工具，方便查看pmdump和procdump的结果

5.3 cmd.exe历史记录

注：若当前存在未关闭的cmd窗口，可从中获取执行的命令的历史记录

F5键：按F5键可以上翻并显示之前执行过的命令

doskey：系统自带，使用 doskey /history 命令可以列出当前cmd窗口之前执行过的所有命令

6. 磁盘信息

6.1 共享信息

net share：系统自带net命令，打印哪些磁盘或目录被以什么样的名字共享在网络上

6.2 磁盘工具

FATWalker：磁盘分析工具，可以查找已删除的文件

NTFSWalker：同上

DiskDigger：同上

7. 启动项

msconfig：系统自带（Windows 2000默认没有）

autoruns：sysinternals，图形化工具

autorunsc：sysinternals，autoruns的命令行版本

8. 日志与文件

8.1 日志工具

findstr：系统自带，用于搜索文本中的字符串

grep：UnixUtils包中的工具，功能与UNIX下的grep相同

LogParser：可用于分析文本格式的日志，还支持系统日志（导出为evt文件）和IIS日志的分析

split：UnixUtils包中的工具，切文本用的，方便处理不分段的大日志

8.2 重要的日志和文件

注：以下都是默认路径，可能会有认为修改导致路径改变

应用程序日志 ：C:windowssystem32configAppEvent.Evt

安全性日志 ：C:windowssystem32configSecEvent.Evt

系统日志 ：C:windowssystem32configSysEvent.Evt

计划任务日志 ：C:windowsSchedLgU.Txt

IIS日志 ：C:windowssystem32logfilesW3SVCxexYYMMDD.log

IE浏览器历史记录 ：C:Documents and SettingsusernameLocal SettingsHistory

IE浏览器临时文件 ：C:Documents and SettingsusernameLocal SettingsTemporary Internet Files

IE浏览器产生的Cookie ：C:Documents and SettingsusernameCookies

9. 综合信息收集工具

systeminfo ：XP以后自带

SIW(System Info for Windows) ：收集软、硬件信息，还收集一些本机记录的密码信息

Nigilant32 ：关于磁盘和内存的工具

10. 网络信息收集

ipconfig：系统自带

netsh：系统自带

11.WMIC收集系统信息

系统版本信息：wmic os get caption,version

补丁信息：wmic qfe get ServicePackInEffect,hotfixid

获取本地MAC信息：wmic nic get macaddress,description

获取本地IP信息：wmic nicconfig get description,ipaddress,DefaultIPGateway,DHCPEnabled,DNSDomain

获取本地日志信息：wmic ntevent list brief（建议使用list brief，即使这样，速度也会很慢）

获取特定类型日志：wmic ntevent where (message like "%登录%") list brief

隐藏共享：wmic SHARE WHERE "Name LIKE '%$'"

非隐藏共享：wmic SHARE WHERE "not Name LIKE '%$'"

获取进程信息：wmic process

获取用户SID信息：wmic useraccount get caption,sid

获取服务信息：wmic service get caption,pathname

正在运行的服务：wmic service where (state="running") get caption,pathname

启动项信息：wmic startup

用户（网络）登录信息：wmic netlogin get lastlogon,caption（本地也可以）

登录信息：wmic logon get starttime,logontype,logonid（和上面信息结合起来看）

-------------------------------------

12.我是最后一段

原则上，sysinternals 的工具包都能解决绝大多数Windows上的问题。

处理了这么多年Windows上的问题，我也基本就是靠这么一套工具包在活着了，下载访问官网：https://live.sysinternals.com/

（扫码关注）

本文始发于微信公众号（Piz0n）：事件处置（续）：我的WIRTK